Plataforma
wordpress
Componente
lbg-cleverbakery
Corrigido em
2.5.4
A vulnerabilidade CVE-2025-31070 representa um problema de Acesso Arbitrário de Arquivo (Path Traversal) no plugin HTML5 Radio Player - WPBakery Page Builder Addon. Essa falha permite que atacantes explorem a falta de restrição de caminho para acessar arquivos arbitrários no servidor. A vulnerabilidade afeta versões do plugin de 0.0.0 até 2.5, sendo corrigida na versão 2.5.4.
Um atacante que explore com sucesso essa vulnerabilidade pode ler arquivos confidenciais no servidor web, como arquivos de configuração, chaves de API ou dados de usuários. O acesso a esses arquivos pode levar à divulgação de informações sensíveis, comprometimento da integridade do sistema e, potencialmente, à execução remota de código, dependendo dos arquivos acessados e das permissões do servidor. A exploração bem-sucedida pode resultar em um impacto significativo na confidencialidade, integridade e disponibilidade do site WordPress.
A vulnerabilidade foi divulgada em 2025-07-16. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver suas próprias ferramentas de exploração.
WordPress websites utilizing the HTML5 Radio Player - WPBakery Page Builder Addon, particularly those running older versions (0.0.0–2.5), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/lbg-cleverbakery/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/lbg-cleverbakery/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.08% (percentil 23%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-31070 é atualizar o plugin HTML5 Radio Player - WPBakery Page Builder Addon para a versão 2.5.4 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de regras de firewall (WAF) ou configurações do servidor web. Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado do plugin.
Actualice el plugin HTML5 Radio Player - WPBakery Page Builder Addon a la versión 2.5.4 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la forma en que el plugin maneja las rutas de archivos, evitando el acceso no autorizado a archivos sensibles.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-31070 is a HIGH severity vulnerability allowing attackers to read files outside of intended directories in the HTML5 Radio Player plugin for WordPress.
You are affected if you are using the HTML5 Radio Player - WPBakery Page Builder Addon versions 0.0.0 through 2.5. Check your plugin versions immediately.
Upgrade the HTML5 Radio Player - WPBakery Page Builder Addon to version 2.5.4 or later to resolve this vulnerability.
As of the current date, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the LambertGroup website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-31070.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.