Plataforma
wordpress
Componente
wpevently
Corrigido em
4.2.10
A vulnerabilidade CVE-2025-30895 é uma falha de Path Traversal identificada no plugin WpEvently, desenvolvido pela magepeopleteam. Essa falha permite a inclusão de arquivos locais (LFI) através de PHP, possibilitando que um atacante acesse arquivos sensíveis no servidor. A vulnerabilidade afeta versões do WpEvently desde a versão 0.0.0 até a 4.2.9, sendo crucial a atualização para a versão 4.2.10 para mitigar o risco.
A exploração bem-sucedida da vulnerabilidade de Path Traversal em WpEvently pode permitir que um atacante acesse arquivos confidenciais armazenados no servidor web. Isso inclui arquivos de configuração, código-fonte, logs e potencialmente informações de credenciais. Um atacante poderia, por exemplo, ler o arquivo wp-config.php, obtendo acesso ao banco de dados do WordPress. A partir daí, o atacante poderia modificar dados, inserir código malicioso ou até mesmo comprometer completamente o site. A gravidade da vulnerabilidade é amplificada se o servidor web estiver configurado para permitir a execução de código PHP a partir de arquivos acessados através da falha.
A vulnerabilidade CVE-2025-30895 foi publicada em 27 de março de 2025. Atualmente, não há informações sobre exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração, tornando a atualização ainda mais urgente. A pontuação de severidade CVSS de 7.5 (ALTO) indica um risco significativo, exigindo atenção imediata.
Websites using the WpEvently plugin, particularly those running older versions (0.0.0–4.2.9), are at risk. Shared hosting environments are particularly vulnerable as they often have limited access controls and a higher concentration of vulnerable plugins.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-evently/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-evently/../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.20% (percentil 42%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2025-30895 é a atualização imediata do plugin WpEvently para a versão 4.2.10 ou superior. Se a atualização imediata não for possível devido a incompatibilidades com outros plugins ou temas, considere restringir o acesso ao arquivo vulnerável através de regras de firewall de aplicação web (WAF). Implemente regras que bloqueiem solicitações com caracteres suspeitos ou padrões de path traversal. Além disso, revise as permissões de arquivos e diretórios no servidor para garantir que apenas os usuários necessários tenham acesso de leitura. Após a atualização, confirme a correção verificando se o acesso ao arquivo vulnerável é negado.
Actualice el plugin WpEvently a la última versión disponible para mitigar la vulnerabilidad de inyección de objetos PHP. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización. Considere implementar medidas de seguridad adicionales, como limitar el acceso a archivos sensibles y validar las entradas del usuario.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-30895 is a Path Traversal vulnerability in the WpEvently WordPress plugin allowing attackers to include arbitrary files, potentially exposing sensitive data.
Yes, if you are using WpEvently versions 0.0.0 through 4.2.9, you are affected by this vulnerability.
Upgrade the WpEvently plugin to version 4.2.10 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade isn't possible.
Currently, there are no confirmed active exploitation campaigns, but the availability of a PoC increases the risk.
Refer to the WpEvently plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.