Plataforma
wordpress
Componente
instawp-connect
Corrigido em
0.1.1
A vulnerabilidade CVE-2025-2636 é uma falha de Inclusão de Arquivo Local (LFI) descoberta no plugin InstaWP Connect – 1-click WP Staging & Migration para WordPress. Essa falha permite que atacantes não autenticados incluam e executem arquivos arbitrários no servidor, potencialmente comprometendo a segurança do site. As versões afetadas são da 0.0.0 até a 0.1.0.85. A correção foi publicada em data desconhecida.
Um atacante explorando essa vulnerabilidade pode incluir e executar código PHP arbitrário no servidor WordPress. Isso pode levar à execução remota de código (RCE), permitindo que o atacante obtenha controle total sobre o servidor web. O atacante pode, por exemplo, ler arquivos de configuração sensíveis, modificar o conteúdo do site, instalar malware ou até mesmo usar o servidor como um ponto de apoio para ataques a outros sistemas na rede. A gravidade da vulnerabilidade é alta devido ao potencial de comprometimento completo do servidor.
A vulnerabilidade CVE-2025-2636 foi divulgada em 11 de abril de 2025. Não há informações disponíveis sobre exploração ativa ou a inclusão da CVE no KEV (CISA Known Exploited Vulnerabilities) catalog. A existência de um Proof of Concept (PoC) público é desconhecida no momento.
WordPress websites using the InstaWP Connect plugin, particularly those with default file upload permissions or those running older, unpatched versions of WordPress, are at significant risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'instawp-database-manager' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep InstaWP Connect• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/instawp-connect -type f -name '*.php' -print0 | xargs -0 grep 'instawp-database-manager'disclosure
Status do Exploit
EPSS
10.16% (percentil 93%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-2636 é atualizar o plugin InstaWP Connect para a versão corrigida, assim que disponível. Se a atualização imediata não for possível, considere implementar workarounds como restringir o acesso ao parâmetro 'instawp-database-manager' através de regras de firewall ou WAF (Web Application Firewall). Além disso, revise as permissões de arquivos e diretórios no servidor para garantir que apenas arquivos PHP autorizados possam ser incluídos. Após a atualização, confirme a correção verificando se o parâmetro 'instawp-database-manager' não permite mais a inclusão de arquivos arbitrários.
Actualice el plugin InstaWP Connect a una versión corregida. La vulnerabilidad de inclusión de archivos locales no autenticados permite la ejecución de código arbitrario. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-2636 is a Local File Inclusion vulnerability in the InstaWP Connect WordPress plugin, allowing attackers to execute arbitrary files. It has a CVSS score of 8.1 (HIGH) and affects versions 0.0.0–0.1.0.85.
You are affected if your WordPress site uses the InstaWP Connect plugin in versions 0.0.0 through 0.1.0.85. Check your plugin versions immediately.
Upgrade to the latest version of the InstaWP Connect plugin as soon as a patch is released. Until then, implement WAF rules or restrict file upload permissions.
There is currently no confirmed active exploitation, but the vulnerability is considered high severity and PoCs are likely to emerge.
Check the official InstaWP Connect website and WordPress plugin repository for updates and security advisories related to CVE-2025-2636.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.