Plataforma
wordpress
Componente
delete-comments-by-status
Corrigido em
2.1.2
Uma vulnerabilidade de Path Traversal foi descoberta no plugin Delete Comments By Status para WordPress. Esta falha permite que um atacante acesse arquivos arbitrários no servidor, potencialmente comprometendo a confidencialidade e integridade do sistema. A vulnerabilidade afeta versões do plugin de 0.0.0 até 2.1.1 e foi corrigida na versão 2.1.2.
A vulnerabilidade de Path Traversal no Delete Comments By Status permite que um atacante explore o plugin para acessar arquivos fora do diretório pretendido. Ao manipular corretamente os parâmetros de entrada, um invasor pode ler arquivos de configuração, código-fonte ou outros dados sensíveis armazenados no servidor web. O impacto pode variar dependendo dos arquivos acessíveis, mas pode incluir a divulgação de credenciais de banco de dados, chaves de API ou informações de identificação pessoal (PII). Em cenários mais graves, um atacante pode até mesmo modificar arquivos críticos do sistema, levando a uma interrupção do serviço ou execução de código malicioso.
A vulnerabilidade foi divulgada em 2025-03-03. Não há evidências públicas de exploração ativa ou de inclusão no KEV (CISA Known Exploited Vulnerabilities) até o momento. A ausência de um Proof of Concept (PoC) público torna a exploração mais difícil, mas a natureza inerente da vulnerabilidade de Path Traversal significa que um PoC pode ser desenvolvido a qualquer momento.
WordPress websites using the Delete Comments By Status plugin, particularly those running older versions (0.0.0 - 2.1.1), are at risk. Shared hosting environments where file permissions are not strictly controlled are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/delete-comments-by-status/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/delete-comments-by-status/../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.19% (percentil 41%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Delete Comments By Status para a versão 2.1.2 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor web em busca de tentativas de acesso a arquivos fora do diretório esperado. Implementar uma política de segurança de conteúdo (CSP) pode ajudar a mitigar o impacto de ataques de Path Traversal, restringindo as fontes de conteúdo que o navegador pode carregar.
Actualice el plugin Delete Comments By Status a la última versión disponible para mitigar la vulnerabilidad de Path Traversal. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-25130 is a Path Traversal vulnerability affecting the Delete Comments By Status WordPress plugin, allowing attackers to read arbitrary files.
You are affected if you are using Delete Comments By Status versions 0.0.0 through 2.1.1. Upgrade to 2.1.2 or later to mitigate the risk.
Upgrade the Delete Comments By Status plugin to version 2.1.2 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
There are currently no reports of active exploitation, but the vulnerability is publicly known and poses a significant risk.
Check the Delete Comments By Status plugin page on WordPress.org for updates and security advisories.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.