Plataforma
wordpress
Componente
wp-event-solution
Corrigido em
4.0.25
A vulnerabilidade CVE-2025-1770 é uma falha de Inclusão de Arquivos Locais (LFI) descoberta no plugin Eventin para WordPress, um sistema de gerenciamento de eventos, calendários, ingressos e registros. Essa falha permite que um atacante autenticado, com permissões de Contributor ou superiores, inclua e execute arquivos arbitrários no servidor, potencialmente comprometendo a integridade e a confidencialidade dos dados. As versões afetadas são de 0.0.0 até 4.0.24, e a correção já foi disponibilizada.
A exploração bem-sucedida da vulnerabilidade CVE-2025-1770 pode ter um impacto significativo na segurança de um site WordPress. Um atacante com acesso autenticado (Contributor ou superior) pode utilizar a falha para incluir e executar código PHP arbitrário no servidor. Isso pode levar à exfiltração de dados sensíveis, como informações de usuários, dados de eventos e credenciais de administração. Além disso, o atacante pode obter controle total sobre o servidor, permitindo a instalação de malware, a modificação de conteúdo e a realização de ataques a outros sistemas na rede. A capacidade de executar código arbitrário representa um risco de segurança crítico, especialmente em ambientes de produção.
A vulnerabilidade CVE-2025-1770 foi divulgada em 20 de março de 2025. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público pode facilitar a exploração por atacantes menos experientes. A gravidade da vulnerabilidade, combinada com a popularidade do plugin Eventin, a torna um alvo atraente para exploração.
WordPress websites utilizing the Eventin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configurations are also at increased risk, as are websites with legacy Eventin plugin versions that are no longer actively maintained.
• wordpress / composer / npm:
grep -r 'style=../../' /var/www/html/wp-content/plugins/eventin/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/eventin/?style=../../../../etc/passwd' # Check for file disclosurePublic disclosure
Status do Exploit
EPSS
0.55% (percentil 68%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-1770 é a atualização imediata do plugin Eventin para a versão corrigida. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere as seguintes medidas de mitigação: Restrinja o acesso ao parâmetro 'style' para evitar a inclusão de arquivos não autorizados. Implemente regras de firewall (WAF) ou proxy para bloquear solicitações maliciosas que tentem explorar a vulnerabilidade. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de inclusão de arquivos não autorizados. Revise as permissões de usuário para garantir que apenas usuários autorizados tenham acesso a funcionalidades sensíveis.
Actualice el plugin Eventin a la última versión disponible. La vulnerabilidad de inclusión de archivos locales se ha solucionado en versiones posteriores a la 4.0.24. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de actualizar cualquier plugin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-1770 is a Local File Inclusion vulnerability in the Eventin WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Eventin plugin versions 0.0.0 through 4.0.24 and have users with Contributor-level access or higher.
Upgrade the Eventin plugin to a patched version as soon as it's available. Until then, implement WAF rules or restrict file upload permissions.
While no active exploitation has been confirmed, the high CVSS score and ease of exploitation suggest a high likelihood of exploitation if unpatched.
Check the Eventin plugin developer's website and WordPress plugin repository for updates and advisories related to CVE-2025-1770.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.