Countdown, Coming Soon, Maintenance – Countdown & Clock <= 2.8.9.1 - Inclusão Local de Arquivo Não Autenticada Limitada
Plataforma
wordpress
Componente
countdown-builder
Corrigido em
2.8.10
Uma vulnerabilidade de Inclusão de Arquivo Local (LFI) foi descoberta no plugin Countdown, Coming Soon, Maintenance – Countdown & Clock para WordPress. Essa falha, presente nas versões de 0.0.0 até 2.8.9.1, permite que atacantes não autenticados incluam e executem arquivos PHP no servidor, comprometendo a segurança do site. A atualização para a versão 2.8.10 resolve a vulnerabilidade, e medidas de mitigação podem ser aplicadas como solução temporária.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código PHP arbitrário no servidor web. Isso pode levar à obtenção de informações confidenciais, como credenciais de banco de dados ou chaves de API, permitindo o acesso não autorizado a dados sensíveis. Além disso, o atacante pode modificar arquivos do site, injetar código malicioso e até mesmo assumir o controle completo do servidor. O impacto é severo, especialmente em ambientes de hospedagem compartilhada, onde a vulnerabilidade em um site pode comprometer outros sites no mesmo servidor.
Contexto de Exploração
A vulnerabilidade foi divulgada em 2025-04-04. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. É crucial aplicar as medidas de mitigação ou atualizar o plugin o mais rápido possível.
Quem Está em Riscotraduzindo…
Websites utilizing the Countdown, Coming Soon, Maintenance – Countdown & Clock plugin, particularly those running older, unpatched versions (0.0.0–2.8.9.1), are at significant risk. Shared hosting environments where WordPress installations have limited access controls are also particularly vulnerable.
Passos de Detecçãotraduzindo…
• wordpress / composer / npm:
grep -r 'createCdObj' /var/www/html/wp-content/plugins/countdown-coming-soon-maintenance-countdown-clock/• wordpress / composer / npm:
wp plugin list | grep 'Countdown, Coming Soon, Maintenance'• wordpress / composer / npm:
wp plugin update countdown-coming-soon-maintenance-countdown-clockLinha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.65% (percentil 71%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Informações do pacote
- Instalações ativas
- 10KConhecido
- Avaliação do plugin
- 4.7
- Requer WordPress
- 3.8+
- Compatível até
- 6.9.4
- Requer PHP
- 5.3+
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A correção definitiva para esta vulnerabilidade é a atualização para a versão 2.8.10 do plugin Countdown, Coming Soon, Maintenance – Countdown & Clock. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso à função createCdObj através de regras de firewall de aplicação web (WAF) ou proxies reverso, bloqueando solicitações suspeitas. Monitore os logs do servidor em busca de tentativas de inclusão de arquivos não autorizados. Implemente uma política de segurança de conteúdo (CSP) para mitigar a execução de scripts maliciosos. Após a atualização, verifique a integridade dos arquivos do plugin para garantir que a vulnerabilidade foi corrigida.
Como corrigirtraduzindo…
Actualice el plugin Countdown, Coming Soon, Maintenance – Countdown & Clock a la versión 2.8.10 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique que su instalación de WordPress esté actualizada y que tenga las últimas medidas de seguridad implementadas. Considere utilizar un plugin de seguridad de WordPress para una protección adicional.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2025-2270 — LFI in Countdown WordPress Plugin?
CVE-2025-2270 is a Local File Inclusion vulnerability in the Countdown plugin for WordPress, allowing attackers to potentially execute arbitrary code. It affects versions 0.0.0–2.8.9.1.
Am I affected by CVE-2025-2270 in Countdown WordPress Plugin?
If you are using the Countdown plugin in WordPress versions 0.0.0 through 2.8.9.1, you are potentially affected by this vulnerability.
How do I fix CVE-2025-2270 in Countdown WordPress Plugin?
Upgrade the Countdown plugin to version 2.8.10 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
Is CVE-2025-2270 being actively exploited?
While active exploitation has not been confirmed, the vulnerability's ease of exploitation suggests a potential risk of exploitation.
Where can I find the official WordPress advisory for CVE-2025-2270?
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.