Plataforma
wordpress
Componente
wp01
Corrigido em
2.6.3
A vulnerabilidade CVE-2025-30567 representa um risco de Path Traversal (Acesso Arbitrário a Arquivos) no plugin WP01. Essa falha permite que atacantes acessem arquivos sensíveis no servidor, potencialmente comprometendo a confidencialidade e integridade dos dados. A vulnerabilidade afeta versões do WP01 de 0.0.0 até a 2.6.2, sendo corrigida na versão 2.6.3.
Um atacante explorando com sucesso essa vulnerabilidade pode ler arquivos arbitrários no servidor onde o WP01 está instalado. Isso inclui arquivos de configuração, logs, e potencialmente até mesmo código-fonte de outras aplicações. O impacto pode variar desde a exposição de informações sensíveis, como credenciais de banco de dados, até a execução remota de código, dependendo dos arquivos acessíveis e das permissões do usuário sob o qual o WP01 está rodando. A possibilidade de acesso a arquivos de configuração pode permitir a modificação do comportamento do sistema, abrindo caminho para ataques mais sofisticados.
A vulnerabilidade foi divulgada em 25 de março de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento desta análise. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração, portanto, a aplicação da correção é altamente recomendada.
Websites utilizing the WP01 plugin in versions 0.0.0 through 2.6.2 are at risk. This includes sites using shared hosting environments where plugin updates may not be managed automatically, and those with legacy WordPress installations that haven't been regularly updated.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp01/*• generic web:
curl -I 'http://example.com/wp-content/plugins/wp01/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
27.19% (percentil 96%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-30567 é a atualização imediata do plugin WP01 para a versão 2.6.3 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir as permissões do usuário sob o qual o WP01 está rodando, utilizando um firewall de aplicação web (WAF) para bloquear requisições maliciosas que tentam acessar arquivos fora do diretório esperado, e monitorando os logs do servidor em busca de tentativas de acesso suspeitas. Verifique, após a atualização, se o acesso aos arquivos sensíveis está devidamente restrito.
Actualice el plugin WP01 a la versión 2.6.3 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo el acceso no autorizado a archivos sensibles.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-30567 is a vulnerability in the WP01 WordPress plugin that allows attackers to read arbitrary files on the server via path traversal.
You are affected if you are using WP01 versions 0.0.0 through 2.6.2. Upgrade to 2.6.3 or later to resolve the issue.
Upgrade the WP01 plugin to version 2.6.3 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
Currently, there are no confirmed reports of active exploitation, but monitoring is advised.
Refer to the WP01 plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.