Plataforma
wordpress
Componente
dyapress
Corrigido em
18.0.3
Uma vulnerabilidade de Path Traversal foi descoberta no DyaPress ERP/CRM, permitindo a inclusão de arquivos locais (LFI) via PHP. Esta falha pode ser explorada para ler arquivos confidenciais no servidor, potencialmente comprometendo a integridade e a confidencialidade dos dados. A vulnerabilidade afeta as versões do DyaPress ERP/CRM desde 0.0.0 até a versão 18.0.2.0. A correção está disponível na versão 18.0.3.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos arbitrários no servidor DyaPress ERP/CRM. Isso significa que um invasor pode ler arquivos de configuração, código-fonte ou outros dados sensíveis armazenados no sistema de arquivos do servidor. Em cenários mais graves, a exploração pode levar à execução remota de código se o atacante conseguir incluir um arquivo PHP malicioso. O impacto potencial inclui a exposição de informações confidenciais, a modificação de dados e o comprometimento completo do sistema. Embora não haja relatos públicos de exploração ativa, a facilidade de exploração e o potencial impacto tornam esta vulnerabilidade uma preocupação significativa.
A vulnerabilidade foi publicada em 2025-04-10. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A pontuação CVSS de 8.1 (HIGH) indica uma probabilidade moderada de exploração. Não há public proof-of-concept (PoC) amplamente disponíveis, mas a natureza da vulnerabilidade de Path Traversal sugere que a criação de um PoC é relativamente simples.
Organizations using DyaPress ERP/CRM, particularly those with older versions (0.0.0–18.0.2.0) and those with limited security controls, are at significant risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one DyaPress ERP/CRM instance could potentially affect other tenants.
• wordpress / composer / npm:
grep -r "../" /var/www/dyapress/• generic web:
curl -I http://your-dyapress-server.com/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --all | grep dyapressdisclosure
Status do Exploit
EPSS
0.26% (percentil 49%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o DyaPress ERP/CRM para a versão 18.0.3 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de instalação do DyaPress ERP/CRM e monitorar os logs do servidor em busca de atividades suspeitas. Implementar um Web Application Firewall (WAF) com regras para bloquear tentativas de inclusão de arquivos pode fornecer uma camada adicional de proteção. Verifique se as permissões de arquivo estão configuradas corretamente para evitar acesso não autorizado.
Actualice el plugin DyaPress ERP/CRM a la última versión disponible para solucionar la vulnerabilidad de inclusión de archivos locales. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-30582 is a Path Traversal vulnerability allowing attackers to include arbitrary files in DyaPress ERP/CRM, potentially leading to sensitive data exposure or code execution. It affects versions 0.0.0–18.0.2.0.
If you are using DyaPress ERP/CRM versions 0.0.0 through 18.0.2.0, you are potentially affected by this vulnerability. Upgrade to 18.0.3 or later to mitigate the risk.
The recommended fix is to upgrade DyaPress ERP/CRM to version 18.0.3 or later. As a temporary workaround, implement WAF rules to block path traversal attempts.
While no public exploits are currently known, the vulnerability's nature makes it easily exploitable, and active exploitation is possible.
Refer to the official DyaPress ERP/CRM security advisories on their website or through their support channels for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.