Plataforma
wordpress
Componente
countdown-builder
Corrigido em
2.8.10
Uma vulnerabilidade de Inclusão de Arquivo Local (LFI) foi descoberta no plugin Countdown, Coming Soon, Maintenance – Countdown & Clock para WordPress. Essa falha, presente nas versões de 0.0.0 até 2.8.9.1, permite que atacantes não autenticados incluam e executem arquivos PHP no servidor, comprometendo a segurança do site. A atualização para a versão 2.8.10 resolve a vulnerabilidade, e medidas de mitigação podem ser aplicadas como solução temporária.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código PHP arbitrário no servidor web. Isso pode levar à obtenção de informações confidenciais, como credenciais de banco de dados ou chaves de API, permitindo o acesso não autorizado a dados sensíveis. Além disso, o atacante pode modificar arquivos do site, injetar código malicioso e até mesmo assumir o controle completo do servidor. O impacto é severo, especialmente em ambientes de hospedagem compartilhada, onde a vulnerabilidade em um site pode comprometer outros sites no mesmo servidor.
A vulnerabilidade foi divulgada em 2025-04-04. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. É crucial aplicar as medidas de mitigação ou atualizar o plugin o mais rápido possível.
Websites utilizing the Countdown, Coming Soon, Maintenance – Countdown & Clock plugin, particularly those running older, unpatched versions (0.0.0–2.8.9.1), are at significant risk. Shared hosting environments where WordPress installations have limited access controls are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'createCdObj' /var/www/html/wp-content/plugins/countdown-coming-soon-maintenance-countdown-clock/• wordpress / composer / npm:
wp plugin list | grep 'Countdown, Coming Soon, Maintenance'• wordpress / composer / npm:
wp plugin update countdown-coming-soon-maintenance-countdown-clockdisclosure
Status do Exploit
EPSS
0.65% (percentil 71%)
CISA SSVC
Vetor CVSS
A correção definitiva para esta vulnerabilidade é a atualização para a versão 2.8.10 do plugin Countdown, Coming Soon, Maintenance – Countdown & Clock. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso à função createCdObj através de regras de firewall de aplicação web (WAF) ou proxies reverso, bloqueando solicitações suspeitas. Monitore os logs do servidor em busca de tentativas de inclusão de arquivos não autorizados. Implemente uma política de segurança de conteúdo (CSP) para mitigar a execução de scripts maliciosos. Após a atualização, verifique a integridade dos arquivos do plugin para garantir que a vulnerabilidade foi corrigida.
Actualice el plugin Countdown, Coming Soon, Maintenance – Countdown & Clock a la versión 2.8.10 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique que su instalación de WordPress esté actualizada y que tenga las últimas medidas de seguridad implementadas. Considere utilizar un plugin de seguridad de WordPress para una protección adicional.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-2270 is a Local File Inclusion vulnerability in the Countdown plugin for WordPress, allowing attackers to potentially execute arbitrary code. It affects versions 0.0.0–2.8.9.1.
If you are using the Countdown plugin in WordPress versions 0.0.0 through 2.8.9.1, you are potentially affected by this vulnerability.
Upgrade the Countdown plugin to version 2.8.10 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
While active exploitation has not been confirmed, the vulnerability's ease of exploitation suggests a potential risk of exploitation.
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.