Plataforma
wordpress
Componente
helloprint
Corrigido em
2.0.8
Uma vulnerabilidade de Acesso Arbitrário de Arquivos (Path Traversal) foi descoberta no Helloprint, um plugin para WordPress. Esta falha permite que atacantes acessem arquivos sensíveis no servidor, potencialmente expondo informações confidenciais ou executando código malicioso. A vulnerabilidade afeta versões do Helloprint entre 0.0.0 e 2.0.7, e foi corrigida na versão 2.0.8.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante contorne as restrições de diretório e acesse arquivos arbitrários no servidor web. Isso pode levar à divulgação de informações confidenciais, como arquivos de configuração, chaves de API ou dados de usuários. Em cenários mais graves, um atacante pode até mesmo executar código remoto no servidor, comprometendo a integridade e a confidencialidade do sistema. A vulnerabilidade se assemelha a outros ataques de Path Traversal, onde a manipulação de caminhos de arquivo permite o acesso não autorizado.
A vulnerabilidade foi divulgada em 2025-03-03. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV. A pontuação CVSS de 7.7 (HIGH) indica um risco significativo, e a disponibilidade de um PoC público pode aumentar a probabilidade de exploração.
WordPress sites utilizing the Helloprint plugin, particularly those with older versions (0.0.0–2.0.7), are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as they may be unable to implement mitigation workarounds effectively. Sites with sensitive data stored on the same server as the WordPress installation face a higher risk of data exposure.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/helloprint/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/helloprint/../../../../etc/passwd"disclosure
Status do Exploit
EPSS
0.10% (percentil 28%)
CISA SSVC
Vetor CVSS
A correção primária é atualizar o plugin Helloprint para a versão 2.0.8 ou superior. Se a atualização imediata não for possível, implemente medidas de mitigação, como regras de firewall de aplicação web (WAF) para bloquear solicitações que contenham caracteres de Path Traversal (por exemplo, '..'). Além disso, revise as permissões de arquivo para garantir que os arquivos sensíveis não sejam acessíveis publicamente. Monitore os logs do servidor em busca de tentativas de acesso não autorizado a arquivos.
Actualice el plugin Helloprint a la última versión disponible para mitigar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones del plugin en el panel de administración de WordPress o a través del repositorio oficial de WordPress.org.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-26540 is a Path Traversal vulnerability in the Helloprint WordPress plugin allowing attackers to read arbitrary files. It has a CVSS score of 7.7 and affects versions 0.0.0–2.0.7.
Yes, if your WordPress site uses the Helloprint plugin and is running version 0.0.0 through 2.0.7, you are affected by this vulnerability.
Upgrade the Helloprint WordPress plugin to version 2.0.8 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file access permissions and WAF rules.
As of now, there is no evidence of active exploitation campaigns targeting CVE-2025-26540, but the high CVSS score warrants vigilance.
Refer to the Helloprint project's official website or WordPress plugin repository for the latest advisory and update information regarding CVE-2025-26540.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.