Plataforma
wordpress
Componente
wp-businessdirectory
Corrigido em
3.1.3
A vulnerabilidade CVE-2025-32629 é um problema de Acesso Arbitrário de Arquivo (Path Traversal) descoberto no plugin WP-BusinessDirectory para WordPress, desenvolvido pela CMSJunkie. Essa falha permite que atacantes maliciosos acessem arquivos arbitrários no servidor web, potencialmente expondo informações confidenciais. As versões afetadas são aquelas anteriores ou iguais a 3.1.2, sendo a correção disponível na versão 3.1.3.
Um atacante explorando com sucesso essa vulnerabilidade pode ler arquivos arbitrários no servidor web onde o plugin WP-BusinessDirectory está instalado. Isso inclui arquivos de configuração, arquivos de log, e potencialmente até mesmo código-fonte de outras aplicações. A exposição desses arquivos pode levar ao roubo de credenciais, informações de usuários, chaves de API e outros dados sensíveis. Em cenários mais graves, um atacante pode até mesmo executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do sistema. A vulnerabilidade se assemelha a outros casos de Path Traversal, onde a falta de validação adequada de caminhos de arquivos permite o acesso não autorizado.
A vulnerabilidade foi publicada em 2025-04-11. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. Não foram identificados Proofs of Concept (PoCs) públicos no momento da publicação, mas a natureza da vulnerabilidade de Path Traversal a torna um alvo potencial para exploração automatizada.
Websites using the WP-BusinessDirectory plugin, particularly those running older versions (0.0.0–3.1.2), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server configurations and file permissions. Administrators who haven't recently updated their plugins or implemented robust security measures are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-businessdirectory/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-businessdirectory/../../../../etc/passwd' # Attempt to access a sensitive filedisclosure
Status do Exploit
EPSS
0.38% (percentil 59%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-32629 é atualizar o plugin WP-BusinessDirectory para a versão 3.1.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin. Como medida adicional, implemente regras de firewall de aplicação web (WAF) para bloquear solicitações que contenham caracteres suspeitos nos parâmetros de caminho de arquivo. Monitore os logs do servidor em busca de tentativas de acesso a arquivos não autorizados, procurando por padrões de Path Traversal (por exemplo, ../).
Actualice el plugin WP-BusinessDirectory a la última versión disponible para solucionar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-32629 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server running the WP-BusinessDirectory plugin. It impacts versions 0.0.0–3.1.2.
You are affected if your WordPress site uses the WP-BusinessDirectory plugin and is running version 3.1.2 or earlier. Check your plugin versions immediately.
Upgrade the WP-BusinessDirectory plugin to version 3.1.3 or later. If immediate upgrade is not possible, restrict file access permissions and consider WAF rules.
There is currently no confirmed evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the CMSJunkie website and WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.