Plataforma
wordpress
Componente
xlsx-viewer
Corrigido em
2.1.2
Uma vulnerabilidade de Acesso Arbitrário de Arquivo (Path Traversal) foi descoberta no plugin XLSXviewer para WordPress. Essa falha permite que atacantes maliciosos acessem arquivos arbitrários no sistema de arquivos do servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do XLSXviewer de 0.0.0 até 2.1.1. A correção foi lançada na versão 2.1.2.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante leia arquivos fora do diretório pretendido, incluindo arquivos de configuração, código-fonte e dados sensíveis. Isso pode levar à divulgação de informações confidenciais, como credenciais de banco de dados, chaves de API e dados de usuários. Em cenários mais graves, um atacante pode até mesmo conseguir executar código remotamente se arquivos executáveis estiverem acessíveis. A vulnerabilidade se assemelha a outros ataques de Path Traversal, onde a manipulação de caminhos de arquivos permite o acesso não autorizado.
A vulnerabilidade foi divulgada em 22 de janeiro de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
WordPress websites utilizing the XLSXviewer plugin, particularly those running older, unpatched versions (0.0.0–2.1.1), are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Websites that process user-supplied data without proper sanitization are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xlsx-viewer/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/xlsx-viewer/../../../../etc/passwd' # Check for file accessdisclosure
Status do Exploit
EPSS
0.26% (percentil 49%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin XLSXviewer para a versão 2.1.2 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações com sequências de Path Traversal (ex: '../') também pode ajudar. Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado.
Actualice el plugin XLSXviewer a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-23562 is a vulnerability in the XLSXviewer WordPress plugin that allows attackers to read arbitrary files on the server due to improper path validation.
You are affected if you are using XLSXviewer versions 0.0.0 through 2.1.1 on your WordPress site. Check your plugin versions immediately.
Upgrade the XLSXviewer plugin to version 2.1.2 or later to resolve the vulnerability. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
While no active exploitation has been confirmed, the ease of exploitation suggests a potential for attacks. Monitor your systems closely.
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.