Plataforma
wordpress
Componente
yoco-payment-gateway
Corrigido em
3.9.1
A vulnerabilidade CVE-2025-13801 afeta o plugin Yoco Payments para WordPress, permitindo acesso arbitrário a arquivos. Essa falha permite que atacantes não autenticados leiam o conteúdo de arquivos no servidor, potencialmente expondo informações confidenciais. As versões afetadas são da 0.0.0 até a 3.9.0. A correção foi disponibilizada na versão 3.9.1.
Um atacante pode explorar essa vulnerabilidade para ler arquivos arbitrários no servidor onde o plugin Yoco Payments está instalado. Isso inclui arquivos de configuração, arquivos de log e até mesmo arquivos de código fonte, que podem conter credenciais de banco de dados, chaves de API ou outras informações sensíveis. O impacto pode ser significativo, levando à exposição de dados confidenciais, comprometimento do servidor e possível acesso não autorizado a outros sistemas. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta o risco, tornando-a acessível a qualquer pessoa com acesso à internet.
A vulnerabilidade foi divulgada em 7 de janeiro de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a natureza da vulnerabilidade (Path Traversal) a torna um alvo potencial para atacantes.
Websites using the Yoco Payments plugin, particularly those running older versions (0.0.0 - 3.9.0), are at risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit this vulnerability to gain access to files on other websites hosted on the same server.
• wordpress / composer / npm:
grep -r 'file=([^&]+)' /var/www/html/wp-content/plugins/yoco-payments/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/yoco-payments/../../../../etc/passwd'disclosure
Status do Exploit
EPSS
0.19% (percentil 41%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Yoco Payments para a versão 3.9.1 ou superior, que corrige a vulnerabilidade de Path Traversal. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório. Além disso, monitore os logs do servidor em busca de tentativas de acesso não autorizado a arquivos. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações com parâmetros de caminho suspeitos também pode ajudar a mitigar o risco.
Atualize para a versão 3.9.1, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13801 is a vulnerability in the Yoco Payments WordPress plugin allowing unauthenticated attackers to read arbitrary files on the server, potentially exposing sensitive data. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using the Yoco Payments plugin version 0.0.0 through 3.9.0. Upgrade to version 3.9.1 or later to mitigate the risk.
Upgrade the Yoco Payments plugin to version 3.9.1 or later. As a temporary workaround, restrict file access permissions on the server.
There are currently no reports of active exploitation campaigns, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the Yoco Payments website and WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.