Plataforma
wordpress
Componente
wp-editor
Corrigido em
1.2.10
Uma vulnerabilidade de Directory Traversal foi descoberta no plugin WP Editor para WordPress. Essa falha permite que atacantes autenticados, com privilégios de administrador ou superiores, sobrescrevam arquivos arbitrários no servidor do site afetado. As versões do plugin afetadas são da 0.0.0 até a 1.2.9.1. A correção está disponível e a atualização é recomendada para mitigar o risco.
A vulnerabilidade de Directory Traversal no WP Editor permite que um atacante autenticado com acesso de administrador ou superior, explore a falta de validação adequada do caminho do arquivo. Ao explorar essa falha, um atacante pode sobrescrever arquivos críticos no servidor web, como arquivos de configuração ou scripts do sistema. Essa sobrescrita pode levar à execução remota de código (RCE), permitindo que o atacante controle o servidor e acesse dados confidenciais. A gravidade da vulnerabilidade é amplificada pela possibilidade de acesso não autorizado a informações sensíveis e pela capacidade de comprometer a integridade do sistema.
A vulnerabilidade CVE-2025-3294 foi divulgada em 17 de abril de 2025. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há um Proof of Concept (PoC) publicamente disponível, mas a natureza da vulnerabilidade (Directory Traversal) sugere que a exploração pode ser relativamente simples para atacantes com conhecimento técnico. É importante monitorar a situação e implementar as medidas de mitigação recomendadas.
WordPress websites utilizing the WP Editor plugin, particularly those with administrator accounts that have unrestricted file upload permissions, are at significant risk. Shared hosting environments where users have administrator access to WordPress installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "wp-content/plugins/wp-editor/includes/file-handler.php" /var/www/html/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-editor• wordpress / composer / npm:
wp plugin list | grep wp-editordisclosure
Status do Exploit
EPSS
2.33% (percentil 85%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-3294 é atualizar o plugin WP Editor para a versão corrigida, assim que estiver disponível. Enquanto a atualização não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de uploads do WordPress e implementar regras de firewall de aplicação web (WAF) para bloquear tentativas de acesso a arquivos fora do diretório esperado. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados. Implementar uma política de privilégios mínima, garantindo que os usuários tenham apenas as permissões necessárias para realizar suas tarefas, também pode ajudar a limitar o impacto de uma possível exploração.
Actualice el plugin WP Editor a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la falta de validación de la ruta del archivo, previniendo que atacantes autenticados puedan sobrescribir archivos arbitrarios en el servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-3294 is a Directory Traversal vulnerability in the WP Editor WordPress plugin, allowing authenticated attackers to overwrite files.
If you are using the WP Editor plugin in WordPress versions 0.0.0–1.2.9.1, you are potentially affected by this vulnerability.
Upgrade the WP Editor plugin to the latest available version as soon as a patch is released by the plugin developer. Until then, restrict file upload permissions.
There is no confirmed active exploitation of CVE-2025-3294 at this time, but the vulnerability's nature makes it a potential target.
Refer to the plugin developer's website or the WordPress plugin repository for official advisories and updates regarding CVE-2025-3294.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.