Plataforma
wordpress
Componente
aviation-weather-from-noaa
Corrigido em
0.7.3
Uma vulnerabilidade de Path Traversal foi descoberta no plugin Aviation Weather from NOAA, permitindo que atacantes acessem arquivos arbitrários no servidor. Essa falha, classificada com CVSS 7.7 (ALTO), afeta versões do plugin entre 0.0.0 e 0.7.2. A atualização para a versão 0.7.3 resolve a vulnerabilidade.
A vulnerabilidade de Path Traversal permite que um atacante, através de requisições maliciosas, acesse arquivos sensíveis no servidor onde o plugin Aviation Weather from NOAA está instalado. Isso pode incluir arquivos de configuração, código-fonte, dados de usuários ou outros arquivos confidenciais. O acesso não autorizado a esses arquivos pode levar ao roubo de informações, modificação de dados ou até mesmo à execução de código malicioso no servidor. Em cenários mais graves, um atacante poderia obter controle total sobre o servidor, comprometendo a integridade e a confidencialidade dos dados.
A vulnerabilidade CVE-2025-28980 foi divulgada em 2025-07-04. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
WordPress sites utilizing the Aviation Weather from NOAA plugin, particularly those running older, unpatched versions (0.0.0 - 0.7.2), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/aviation-weather-from-noaa/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/aviation-weather-from-noaa/../../../../etc/passwd'disclosure
Status do Exploit
EPSS
0.08% (percentil 25%)
CISA SSVC
Vetor CVSS
A solução primária para mitigar a vulnerabilidade CVE-2025-28980 é atualizar o plugin Aviation Weather from NOAA para a versão 0.7.3 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório, ou utilizar um Web Application Firewall (WAF) para bloquear requisições maliciosas que tentem explorar a vulnerabilidade. Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado do plugin.
Actualice el plugin Aviation Weather from NOAA a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la forma en que el plugin maneja las rutas de archivo, evitando el acceso no autorizado a archivos sensibles.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-28980 is a HIGH severity vulnerability in Aviation Weather from NOAA allowing attackers to read arbitrary files due to a path traversal flaw. It affects versions 0.0.0 through 0.7.2.
If you are using Aviation Weather from NOAA version 0.0.0 to 0.7.2, you are affected by this vulnerability and should upgrade immediately.
Upgrade the Aviation Weather from NOAA plugin to version 0.7.3 or later. Consider WAF rules as a temporary mitigation.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Check the WordPress plugin repository and the developer's website for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.