Plataforma
wordpress
Componente
store-locator
Corrigido em
3.98.11
Uma vulnerabilidade de Path Traversal foi identificada no plugin moaluko Store Locator para WordPress. Essa falha permite a inclusão de arquivos locais, possibilitando que um atacante acesse arquivos arbitrários no servidor. A vulnerabilidade afeta versões do plugin de 0.0.0 até 3.98.10. A correção foi disponibilizada na versão 3.98.11.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante leia arquivos confidenciais no servidor onde o plugin Store Locator está instalado. Isso pode incluir arquivos de configuração, senhas, chaves de API e outros dados sensíveis. Em cenários mais graves, um atacante pode usar essa vulnerabilidade para obter acesso ao sistema de arquivos do servidor, potencialmente levando à execução remota de código. A falta de validação adequada do caminho do arquivo permite que um invasor manipule a entrada para acessar arquivos fora do diretório pretendido.
A vulnerabilidade foi divulgada publicamente em 24 de janeiro de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de uma vulnerabilidade de Path Traversal em um plugin popular do WordPress aumenta o risco de exploração, especialmente em ambientes com configurações de segurança inadequadas.
WordPress websites utilizing the moaluko Store Locator plugin, particularly those running older versions (0.0.0–3.98.10), are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
wp plugin list --status=inactive | grep store-locator• wordpress / plugin:
wp plugin update --all• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/store-locator/../../../../etc/passwd' # Check for file disclosure• generic web:
grep -r "../" /var/log/apache2/access.log # Look for path traversal attempts in logsdisclosure
Status do Exploit
EPSS
0.17% (percentil 38%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin moaluko Store Locator para a versão 3.98.11 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações que contenham caracteres de path traversal (../) também pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos.
Actualice el plugin Store Locator a una versión corregida. Consulte las notas de la versión del plugin para obtener instrucciones específicas sobre cómo actualizar y mitigar la vulnerabilidad de inclusión de archivos locales. Asegúrese de realizar una copia de seguridad de su sitio web antes de realizar cualquier actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-23422 is a Path Traversal vulnerability in the moaluko Store Locator WordPress plugin, allowing attackers to potentially include arbitrary files and access sensitive data.
You are affected if you are using moaluko Store Locator versions 0.0.0 through 3.98.10. Upgrade to 3.98.11 or later to mitigate the risk.
The recommended fix is to upgrade the moaluko Store Locator plugin to version 3.98.11 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the official moaluko Store Locator website or WordPress plugin repository for the latest security advisories and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.