Plataforma
wordpress
Componente
houzez-property-feed
Corrigido em
2.5.4
Uma vulnerabilidade de Arbitrary File Access (Path Traversal) foi identificada no plugin Houzez Property Feed. Essa falha permite que um atacante acesse arquivos arbitrários no servidor, potencialmente expondo informações sensíveis ou executando código malicioso. A vulnerabilidade afeta versões do plugin de 0.0 até 2.5.4, e uma correção foi lançada na versão 2.5.4.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante contorne as restrições de diretório e acesse arquivos que não deveriam estar acessíveis. Isso pode incluir arquivos de configuração, código-fonte ou dados sensíveis do usuário. Em cenários mais graves, um atacante pode até mesmo executar código remotamente no servidor, comprometendo a integridade e a confidencialidade do sistema. A vulnerabilidade se assemelha a outras falhas de Path Traversal, onde a falta de validação adequada da entrada do usuário permite o acesso a recursos não autorizados.
A vulnerabilidade foi divulgada em 2025-04-01. Não há informações disponíveis sobre a exploração ativa desta vulnerabilidade no momento. A ausência de um KEV listing indica uma probabilidade de exploração relativamente baixa, mas a natureza da vulnerabilidade (Path Traversal) a torna um alvo potencial para atacantes.
WordPress sites using the Houzez Property Feed plugin, particularly those running older versions (0.0 - 2.5.4), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to access to files on other sites.
• wordpress / composer / npm:
grep -r "../" /var/www/html/houzez-property-feed/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/houzez-property-feed/../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.50% (percentil 66%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Houzez Property Feed para a versão 2.5.4 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório. Além disso, configure um Web Application Firewall (WAF) para bloquear solicitações que contenham padrões de Path Traversal, como '..' ou '/'.
Actualice el plugin Houzez Property Feed a la versión 2.5.4 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización aborda la falta de restricciones en la ruta del archivo, previniendo el acceso no autorizado a archivos sensibles en el servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-30793 is a HIGH severity vulnerability in the Houzez Property Feed WordPress plugin allowing attackers to read sensitive files via path traversal. It affects versions 0.0 through 2.5.4.
If you are using Houzez Property Feed version 0.0 to 2.5.4 on your WordPress site, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade the Houzez Property Feed plugin to version 2.5.4 or later to resolve the Arbitrary File Access vulnerability. Consider WAF rules as a temporary mitigation.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-30793, but the vulnerability is publicly known and could be targeted.
Refer to the official Houzez Property Feed plugin documentation and website for the latest security advisories and updates related to CVE-2025-30793.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.