Plataforma
wordpress
Componente
database-toolset
Corrigido em
1.8.5
Uma vulnerabilidade de Path Traversal foi descoberta no Database Toolset, permitindo que atacantes acessem arquivos arbitrários no sistema. Essa falha, classificada com severidade Alta (CVSS 8.6), afeta versões do Database Toolset entre 0.0.0 e 1.8.4. A correção está disponível na versão 1.8.5.
A vulnerabilidade de Path Traversal no Database Toolset permite que um atacante, ao explorar a falha, obtenha acesso não autorizado a arquivos confidenciais no servidor. Isso pode incluir informações sensíveis como credenciais de banco de dados, chaves de API, ou até mesmo código-fonte do aplicativo. Um atacante pode usar essa vulnerabilidade para ler arquivos fora do diretório web raiz, potencialmente expondo dados críticos. A exploração bem-sucedida pode levar a roubo de dados, comprometimento do sistema e até mesmo execução remota de código, dependendo dos arquivos acessíveis e das permissões do usuário do processo do Database Toolset.
A vulnerabilidade foi divulgada em 2025-04-11. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público é desconhecida, mas a natureza da vulnerabilidade de Path Traversal sugere que um PoC pode ser desenvolvido relativamente facilmente.
WordPress websites utilizing the neoslab Database Toolset plugin, particularly those with shared hosting environments or legacy configurations, are at risk. Sites where the Database Toolset is used to manage sensitive data, such as database credentials or API keys, are especially vulnerable.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/database-toolset/*• generic web:
curl -I 'http://your-website.com/database-toolset/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.38% (percentil 59%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2025-32633 é atualizar o Database Toolset para a versão 1.8.5 ou superior, que inclui a correção. Se a atualização imediata não for possível, implemente regras de Web Application Firewall (WAF) para bloquear solicitações que contenham caracteres de path traversal (como '../'). Além disso, revise as permissões de arquivos e diretórios para garantir que o Database Toolset tenha apenas acesso aos recursos necessários. Monitore logs de acesso e erros em busca de tentativas de acesso a arquivos não autorizados.
Actualice el plugin Database Toolset a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como limitar el acceso a archivos sensibles y validar las entradas del usuario.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-32633 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a server running neoslab Database Toolset versions 0.0.0–1.8.4 due to a path traversal flaw.
You are affected if your WordPress site uses neoslab Database Toolset versions 0.0.0 through 1.8.4. Check your plugin versions and upgrade immediately if vulnerable.
Upgrade to version 1.8.5 of the neoslab Database Toolset. As a temporary workaround, implement a WAF rule to block path traversal attempts.
As of now, there are no publicly known active exploitation campaigns targeting CVE-2025-32633, but the vulnerability's ease of exploitation warrants immediate attention.
Refer to the neoslab website or their official WordPress plugin page for the latest advisory and release notes regarding CVE-2025-32633.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.