Plataforma
wordpress
Componente
bp-xprofile-custom-field-types
Corrigido em
1.2.9
Uma vulnerabilidade de acesso arbitrário de arquivos foi descoberta no plugin BuddyPress Xprofile Custom Field Types para WordPress. Essa falha, presente nas versões de 1.0.0 a 1.2.8, permite que atacantes autenticados com acesso de Subscriber ou superior deletem arquivos no servidor. A exploração bem-sucedida pode levar à execução remota de código, comprometendo a segurança do site WordPress.
A vulnerabilidade permite que um atacante autenticado, com privilégios mínimos de Subscriber, delete arquivos arbitrários no servidor. O impacto mais grave é a possibilidade de execução remota de código (RCE). Ao deletar arquivos críticos como wp-config.php, um atacante pode obter acesso total ao banco de dados e controlar o servidor WordPress. A deleção de outros arquivos de configuração ou binários do sistema também pode levar a uma interrupção do serviço ou a uma escalada de privilégios. A facilidade de exploração, combinada com a ampla utilização de plugins WordPress, torna esta vulnerabilidade particularmente perigosa.
A vulnerabilidade foi publicada em 2026-01-06. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A existência de um PoC público é desconhecida no momento. A vulnerabilidade está sendo avaliada como de alta probabilidade de exploração devido à sua facilidade de exploração e ao impacto potencial.
WordPress websites utilizing the BuddyPress Xprofile Custom Field Types plugin in versions 1.0.0 through 1.2.8 are at risk. This includes sites with Subscriber-level user roles, as these users are sufficient to exploit the vulnerability. Shared hosting environments are particularly vulnerable, as they often have limited access controls and a higher density of WordPress installations.
• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'BuddyPress Xprofile Custom Field Types'• wordpress / composer / npm:
wp plugin list | grep 'BuddyPress Xprofile Custom Field Types' && wp plugin version 'BuddyPress Xprofile Custom Field Types'• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/buddybp-xprofile-custom-field-types/ -name 'delete_field.php'• wordpress / composer / npm:
wp plugin list | grep 'BuddyPress Xprofile Custom Field Types' && wp plugin path 'BuddyPress Xprofile Custom Field Types'disclosure
Status do Exploit
EPSS
0.94% (percentil 76%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin BuddyPress Xprofile Custom Field Types para a versão 1.3.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir o acesso ao diretório do plugin através de permissões de arquivo. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações suspeitas que tentem acessar ou manipular arquivos sensíveis também pode ajudar. Monitore os logs do servidor em busca de tentativas de acesso não autorizado ou deleção de arquivos.
Atualize para a versão 1.3.0, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14997 is a HIGH severity vulnerability in the BuddyPress Xprofile Custom Field Types plugin for WordPress, allowing authenticated users to delete arbitrary files, potentially leading to remote code execution.
You are affected if you are using BuddyPress Xprofile Custom Field Types versions 1.0.0 through 1.2.8. Upgrade to 1.3.0 or later to resolve the issue.
Upgrade the BuddyPress Xprofile Custom Field Types plugin to version 1.3.0 or later. If immediate upgrade is not possible, restrict file permissions and consider a WAF.
There is currently no evidence of active exploitation of CVE-2025-14997 in the wild.
Refer to the official BuddyPress Xprofile Custom Field Types plugin documentation and WordPress security advisories for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.