Plataforma
wordpress
Componente
car-dealer-automotive-responsive
Corrigido em
1.6.4
A vulnerabilidade CVE-2025-1282 afeta o tema Car Dealer Automotive WordPress – Responsive, permitindo acesso arbitrário de arquivos. Essa falha, resultante de validação inadequada do caminho do arquivo nas funções deletepostphoto() e add_car(), possibilita que atacantes autenticados (com permissão de Subscriber ou superior) deletem arquivos no servidor. Versões afetadas incluem 1.0.0 até 1.6.3. Uma correção foi disponibilizada, e a atualização é a solução recomendada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante autenticado, com privilégios de Subscriber ou superior, delete arquivos arbitrários no servidor web. O impacto mais grave é a possibilidade de exclusão do arquivo wp-config.php, que contém informações sensíveis de configuração do WordPress, como credenciais de banco de dados. A exclusão deste arquivo pode levar à execução remota de código (RCE), comprometendo completamente o servidor. Além disso, a função add_car() pode permitir a leitura de arquivos arbitrários, expondo dados confidenciais. Essa vulnerabilidade se assemelha a outros casos de falhas de validação de caminho que resultaram em acesso não autorizado a dados e execução de código em ambientes WordPress.
A vulnerabilidade foi divulgada em 27 de fevereiro de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um proof-of-concept (PoC) público pode aumentar o risco de exploração. É importante monitorar as fontes de inteligência de ameaças para detectar qualquer atividade maliciosa relacionada a esta vulnerabilidade.
WordPress websites using the Car Dealer Automotive WordPress Theme – Responsive are at risk. Specifically, sites running versions 1.0.0 through 1.6.3 are vulnerable. Shared hosting environments are particularly at risk, as they often have limited control over file permissions and security configurations. Sites with weak password policies or compromised user accounts are also more susceptible to exploitation.
• wordpress / composer / npm:
wp plugin list | grep 'Car Dealer Automotive WordPress Theme'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'delete_post_photo' /var/www/html/wp-content/plugins/car-dealer-responsive/• wordpress / composer / npm:
wp plugin status | grep 'Car Dealer Automotive WordPress Theme'disclosure
Status do Exploit
EPSS
1.00% (percentil 77%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização imediata do tema Car Dealer Automotive WordPress – Responsive para a versão corrigida, assim que estiver disponível. Enquanto a atualização não é possível, medidas paliativas incluem restringir o acesso ao painel de administração do WordPress, implementando autenticação de dois fatores (2FA) para todos os usuários. Além disso, configure regras no Web Application Firewall (WAF) para bloquear solicitações suspeitas que tentem acessar ou manipular arquivos sensíveis. Monitore os logs do servidor em busca de tentativas de acesso não autorizado ou exclusão de arquivos. Implementar um sistema de backup regular do wp-config.php é crucial para recuperação rápida em caso de comprometimento.
Actualice el tema Car Dealer Automotive WordPress Theme – Responsive a la última versión disponible (superior a 1.6.3) para corregir la vulnerabilidad de eliminación y lectura arbitraria de archivos. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-1282 is a HIGH severity vulnerability in the Car Dealer Automotive WordPress Theme allowing authenticated users to delete arbitrary files, potentially leading to remote code execution.
Yes, if your WordPress site uses the Car Dealer Automotive WordPress Theme – Responsive version 1.0.0–1.6.3, you are affected by this vulnerability.
Upgrade the Car Dealer Automotive WordPress Theme – Responsive to a patched version. If immediate upgrade is not possible, implement temporary workarounds like restricting file permissions or using a WAF.
There is currently no indication of active exploitation, but the vulnerability's potential for RCE makes it a potential target.
Refer to the official WordPress plugin repository and the theme developer's website for updates and advisories related to CVE-2025-1282.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.