Plataforma
wordpress
Componente
download-counter-button
Corrigido em
1.8.7
O CVE-2025-11072 é uma vulnerabilidade de acesso a arquivos arbitrários presente no plugin MelAbu WP Download Counter Button para WordPress. Essa falha permite que um atacante não autenticado leia ou baixe arquivos do servidor, comprometendo a confidencialidade dos dados. As versões afetadas são da 0.0 até a 1.8.6.7. A correção foi publicada em 5 de novembro de 2025.
Um atacante pode explorar essa vulnerabilidade para obter acesso a informações sensíveis armazenadas no servidor WordPress. Isso pode incluir arquivos de configuração, dados de usuários, código-fonte do site e outros arquivos confidenciais. O impacto potencial é alto, pois a divulgação ou o roubo desses dados pode levar a sérias consequências para a organização e seus usuários. A exploração bem-sucedida pode resultar em comprometimento completo do servidor, roubo de informações confidenciais e interrupção dos serviços.
A vulnerabilidade foi divulgada em 5 de novembro de 2025. Não há informações sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. Consulte as fontes oficiais para atualizações sobre o status da exploração.
Websites using the MelAbu WP Download Counter Button plugin, particularly those with sensitive data stored on the server or with permissive file system permissions, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "wp_enqueue_style('melabu-counter-button',\s*plugin_dir_url(__FILE__)"• wordpress / composer / npm:
wp plugin list | grep melabu• wordpress / composer / npm:
wp plugin status | grep melabu• generic web: Check for unusual file downloads via the plugin's download button. Monitor access logs for requests to files outside the expected download directory.
disclosure
Status do Exploit
EPSS
0.10% (percentil 28%)
Vetor CVSS
A mitigação primária é atualizar o plugin MelAbu WP Download Counter Button para a versão corrigida, que resolve a vulnerabilidade de acesso a arquivos arbitrários. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de downloads através de regras de firewall ou WAF. Além disso, monitore os logs do servidor em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados. Verifique, após a atualização, se o plugin está funcionando corretamente e se os arquivos sensíveis estão protegidos.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-11072 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on servers running the MelAbu WP Download Counter Button plugin due to insufficient path validation.
You are affected if you are using the MelAbu WP Download Counter Button plugin versions 0.0 through 1.8.6.7. Upgrade to a patched version as soon as it's available.
Upgrade the MelAbu WP Download Counter Button plugin to the latest available version. As a temporary workaround, disable the plugin or restrict file system permissions.
As of 2025-11-05, there are no known public exploits, but it's crucial to apply the patch promptly to prevent potential exploitation.
Check the official MelAbu WP Download Counter Button plugin website and WordPress plugin repository for updates and security advisories related to CVE-2025-11072.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.