Plataforma
wordpress
Componente
meta-box
Corrigido em
5.11.2
O plugin Meta Box para WordPress apresenta uma vulnerabilidade de acesso arbitrário de arquivos. Esta falha, explorável por atacantes autenticados com acesso de Contributor ou superior, permite a exclusão de arquivos arbitrários no servidor. As versões afetadas são da 0.0.0 até a 5.11.1. A correção foi disponibilizada na versão 5.11.2.
A vulnerabilidade de acesso arbitrário de arquivos no Meta Box permite que um atacante autenticado, com privilégios mínimos de Contributor, exclua arquivos no servidor WordPress. A exclusão de arquivos críticos, como o wp-config.php, pode levar à execução remota de código (RCE). Um atacante poderia, por exemplo, excluir este arquivo, interrompendo o funcionamento do WordPress e potencialmente injetando código malicioso para obter controle total sobre o servidor. A gravidade da vulnerabilidade reside na facilidade de exploração e no potencial impacto na confidencialidade, integridade e disponibilidade do sistema.
A vulnerabilidade foi divulgada em 7 de março de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV da CISA no momento da publicação. A existência de acesso autenticado (Contributor) simplifica a exploração, tornando-a potencialmente acessível a um amplo espectro de atacantes.
WordPress websites using the Meta Box plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'ajax_delete_file' /var/www/html/wp-content/plugins/meta-box/• wordpress / composer / npm:
wp plugin list --status=active | grep 'meta-box'• wordpress / composer / npm:
wp plugin update meta-box --all• generic web: Check WordPress plugin directory for updates and security advisories related to Meta Box.
disclosure
Status do Exploit
EPSS
0.89% (percentil 75%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização imediata para a versão 5.11.2 do plugin Meta Box. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso à função ajaxdeletefile através de um firewall de aplicação web (WAF) ou regras de proxy, bloqueando requisições suspeitas. Além disso, revise as permissões de usuário no WordPress, garantindo que apenas usuários com privilégios elevados tenham acesso à funcionalidade de exclusão de arquivos. Monitore os logs do servidor em busca de tentativas de acesso ou exclusão de arquivos suspeitos.
Atualize para a versão 5.11.2, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14675 is a vulnerability in the Meta Box WordPress plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution. It affects versions 0.0.0–5.11.1.
You are affected if your WordPress site uses the Meta Box plugin and is running version 0.0.0 through 5.11.1. Check your plugin versions immediately.
Upgrade the Meta Box plugin to version 5.11.2 or later to resolve the vulnerability. Consider temporary mitigations like WAF rules if immediate upgrade is not possible.
As of the publication date, there are no publicly known active exploits for CVE-2025-14675, but it's crucial to patch promptly to prevent future exploitation.
Refer to the Meta Box plugin website and WordPress security announcements for the official advisory and further details regarding this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.