Plataforma
wordpress
Componente
jkdevkit
Corrigido em
1.9.5
O plugin JKDEVKIT para WordPress apresenta uma vulnerabilidade de acesso arbitrário de arquivos. Devido à validação inadequada do caminho do arquivo na função 'fontuploadhandler', atacantes autenticados podem excluir arquivos arbitrários no servidor. Essa falha pode levar à execução remota de código (RCE) se arquivos críticos, como o wp-config.php, forem excluídos, especialmente em ambientes com WooCommerce habilitado. As versões afetadas são 1.0.0 até 1.9.4.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante autenticado, com privilégios de Subscriber ou superior, exclua arquivos no servidor WordPress. A gravidade da situação reside no potencial de execução remota de código. Ao excluir o arquivo wp-config.php, por exemplo, um atacante pode comprometer completamente o servidor, obtendo acesso total ao banco de dados e à configuração do WordPress. Em ambientes que utilizam WooCommerce, um atacante com privilégios de Contributor ou superior pode explorar a vulnerabilidade. A exclusão de outros arquivos importantes do sistema também pode causar interrupções significativas e perda de dados.
A vulnerabilidade foi divulgada em 03 de julho de 2025. Não há evidências de exploração ativa em campanhas em larga escala no momento. A existência de um Proof of Concept (PoC) público aumenta o risco de exploração. A vulnerabilidade foi adicionada ao Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, indicando um risco potencial para agências governamentais e infraestruturas críticas.
WordPress sites utilizing the JKDEVKIT plugin, particularly those with Subscriber-level users or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also at increased risk, as are sites that haven't implemented robust file upload validation.
• wordpress / composer / npm:
grep -r 'font_upload_handler' /var/www/html/wp-content/plugins/jkdevkit/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/jkdevkit/font_upload_handler• wordpress / composer / npm:
wp plugin list --status=inactive | grep jkdevkitdisclosure
Status do Exploit
EPSS
1.27% (percentil 79%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin JKDEVKIT para uma versão corrigida, assim que disponível. Enquanto isso, medidas paliativas incluem restringir o acesso à função 'fontuploadhandler' através de regras de firewall de aplicação web (WAF) ou proxies reverso, bloqueando solicitações suspeitas. Além disso, é crucial revisar as permissões de arquivo e diretório no servidor para garantir que o plugin JKDEVKIT não tenha acesso desnecessário a arquivos sensíveis. Monitore os logs do servidor e do WordPress em busca de atividades suspeitas, como tentativas de acesso ou exclusão de arquivos não autorizados.
Actualice el plugin JKDEVKIT a la última versión disponible para mitigar la vulnerabilidad de eliminación arbitraria de archivos. Verifique que la validación de rutas de archivos sea adecuada para prevenir accesos no autorizados. Considere limitar los permisos de los usuarios a los estrictamente necesarios para reducir el riesgo de explotación.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-2932 is a HIGH severity vulnerability in the JKDEVKIT WordPress plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution.
You are affected if your WordPress site uses the JKDEVKIT plugin in versions 1.0.0 through 1.9.4. Check your plugin versions immediately.
Upgrade the JKDEVKIT plugin to the latest patched version as soon as it is available. Implement WAF rules as a temporary mitigation.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests it is likely to be targeted soon. Monitor security advisories.
Check the JKDEVKIT plugin's official website or WordPress plugin repository for updates and security advisories related to CVE-2025-2932.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.