Plataforma
wordpress
Componente
images-optimizer
Corrigido em
3.3.1
Uma vulnerabilidade de Acesso Arbitrário de Arquivo (Path Traversal) foi descoberta no plugin A/B Image Optimizer para WordPress. Essa falha permite que atacantes acessem arquivos fora do diretório pretendido, potencialmente expondo informações sensíveis ou executando código malicioso. A vulnerabilidade afeta versões do plugin de 0.0.0 até 3.3. A correção foi lançada na versão 3.3.1.
A vulnerabilidade de Path Traversal no A/B Image Optimizer permite que um atacante, através de requisições HTTP maliciosas, acesse arquivos arbitrários no servidor web. Isso pode incluir arquivos de configuração, código-fonte, backups de banco de dados ou outros dados confidenciais. Um atacante pode explorar essa falha para obter informações sensíveis, modificar arquivos existentes ou até mesmo executar código remoto no servidor, dependendo das permissões do usuário web. A exploração bem-sucedida pode levar a uma violação de dados significativa e comprometimento do sistema.
Esta vulnerabilidade foi divulgada em 7 de fevereiro de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
WordPress websites using the A/B Image Optimizer plugin, particularly those running older versions (0.0.0–3.3), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/images-optimizer/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/images-optimizer/../../../../etc/passwd"disclosure
Status do Exploit
EPSS
25.69% (percentil 96%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin A/B Image Optimizer para a versão 3.3.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere remover o plugin temporariamente. Como medida adicional, configure um Web Application Firewall (WAF) para bloquear requisições com padrões de Path Traversal (por exemplo, ../). Monitore os logs do servidor web em busca de tentativas de acesso a arquivos fora do diretório esperado.
Actualice el plugin A/B Image Optimizer a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-25163 is a High severity vulnerability in the A/B Image Optimizer WordPress plugin that allows attackers to read arbitrary files on the server through path traversal.
You are affected if you are using A/B Image Optimizer versions 0.0.0 through 3.3. Upgrade to 3.3.1 or later to mitigate the risk.
Upgrade the A/B Image Optimizer plugin to version 3.3.1 or later. If immediate upgrade is not possible, restrict file upload access.
As of now, there are no confirmed reports of active exploitation, but the High severity score warrants immediate action.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.