Plataforma
wordpress
Componente
image-shadow
Corrigido em
1.1.1
A vulnerabilidade CVE-2025-24765 é classificada como Path Traversal (Acesso Arbitrário a Arquivos) no plugin Image Shadow. Essa falha permite que atacantes explorem a falta de validação adequada de caminhos de arquivos, possibilitando o acesso não autorizado a arquivos no servidor. Versões do Image Shadow entre 0.0.0 e 1.1.0 são afetadas. A correção foi disponibilizada na versão 1.1.1.
Um atacante pode explorar essa vulnerabilidade para ler arquivos arbitrários no servidor onde o plugin Image Shadow está instalado. Isso inclui arquivos de configuração, código-fonte, logs e outros dados sensíveis. O acesso a esses arquivos pode revelar informações confidenciais, como credenciais de banco de dados, chaves de API e informações pessoais de usuários. Em cenários mais graves, um atacante poderia até mesmo executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do sistema. A exploração bem-sucedida pode levar a uma violação de dados significativa e interrupção do serviço.
A vulnerabilidade foi publicada em 2025-06-27. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver suas próprias ferramentas de exploração.
WordPress websites utilizing the Image Shadow plugin, particularly those running older versions (0.0.0–1.1.0), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/image-shadow/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/image-shadow/../../../../etc/passwd | head -n 1disclosure
Status do Exploit
EPSS
0.09% (percentil 26%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-24765 é atualizar o plugin Image Shadow para a versão 1.1.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin até que uma atualização compatível possa ser aplicada. Como medida adicional, implemente regras de firewall ou proxy para restringir o acesso a arquivos sensíveis no servidor. Monitore os logs do servidor em busca de tentativas de acesso não autorizado a arquivos.
Actualice el plugin Image Shadow a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio oficial de WordPress.org.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-24765 is a HIGH severity vulnerability allowing attackers to read files outside of intended directories in Image Shadow versions 0.0.0–1.1.0.
Yes, if you are using Image Shadow versions 0.0.0 through 1.1.0, you are affected by this vulnerability.
Upgrade the Image Shadow plugin to version 1.1.1 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
As of 2025-06-27, no active exploitation has been confirmed, but monitoring is recommended.
Refer to the RobMarsh project's official website or WordPress plugin repository for the latest advisory and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.