Plataforma
wordpress
Componente
mayosis-core
Corrigido em
5.4.2
O plugin Mayosis Core para WordPress apresenta uma vulnerabilidade de Acesso Arbitrário de Arquivos. Essa falha permite que atacantes não autenticados acessem e leiam o conteúdo de arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta todas as versões do plugin até a 5.4.1. A correção foi publicada em 2025-04-25.
Um atacante explorando essa vulnerabilidade pode ler arquivos de configuração, chaves de API, dados de usuários ou qualquer outro arquivo acessível ao processo do WordPress. Isso pode levar à divulgação de informações sensíveis, comprometimento da conta de administrador ou até mesmo à execução de código malicioso se o atacante conseguir ler arquivos que contenham credenciais ou scripts. A gravidade da vulnerabilidade reside na facilidade de exploração e no potencial de impacto, permitindo que um atacante obtenha acesso a dados críticos sem autenticação.
A vulnerabilidade foi divulgada em 2025-04-25. Não há informações disponíveis sobre exploração ativa ou presença na KEV. A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação. É recomendável monitorar a situação e aplicar as medidas de mitigação o mais rápido possível.
WordPress websites using the Mayosis Core plugin, particularly those running versions 0.0.0 through 5.4.1, are at risk. Shared hosting environments where users have limited control over file permissions are especially vulnerable, as attackers could potentially leverage this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r 'remote_dl.php' /var/www/html/wp-content/plugins/mayosis-core/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/mayosis-core/library/wave-audio/peaks/remote_dl.php• wordpress / composer / npm:
wp plugin list --status=inactive | grep mayosis-coredisclosure
Status do Exploit
EPSS
1.25% (percentil 79%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a atualização do plugin Mayosis Core para a versão corrigida. Se a atualização não for possível devido a problemas de compatibilidade, considere remover o plugin temporariamente. Implemente regras de firewall (WAF) para bloquear o acesso ao arquivo library/wave-audio/peaks/remotedl.php. Monitore os logs do servidor em busca de tentativas de acesso suspeitas a arquivos. Verifique, após a atualização, se o acesso ao arquivo library/wave-audio/peaks/remotedl.php é bloqueado.
Actualice el plugin Mayosis Core a la última versión disponible para solucionar esta vulnerabilidad. Verifique la página de soporte del plugin o el repositorio de WordPress para obtener la versión más reciente y las instrucciones de actualización. Esta actualización corrige la vulnerabilidad de lectura arbitraria de archivos, protegiendo su sitio web de accesos no autorizados a archivos sensibles.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-1565 is a vulnerability in the Mayosis Core WordPress plugin that allows unauthenticated attackers to read arbitrary files on the server. It has a CVSS score of 7.5 (HIGH).
You are affected if your WordPress site uses the Mayosis Core plugin and is running version 0.0.0 through 5.4.1. Check your plugin versions immediately.
Upgrade Mayosis Core to the latest available version as soon as a patch is released. Until then, restrict access to the vulnerable file using web server configuration or a WAF.
There are currently no confirmed reports of active exploitation, but the vulnerability's simplicity suggests it could be exploited soon.
Check the Mayosis Core plugin website or WordPress plugin repository for updates and advisories related to CVE-2025-1565.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.