Plataforma
wordpress
Componente
wpmastertoolkit
Corrigido em
1.10.0
2.5.4
A vulnerabilidade CVE-2025-3300 é uma falha de Directory Traversal descoberta no plugin WPMasterToolKit (WPMTK) – All in one para WordPress. Essa falha permite que atacantes autenticados, com privilégios de administrador ou superiores, acessem e modifiquem arquivos arbitrários no servidor, comprometendo dados sensíveis. As versões afetadas são de 1.0.0 até 1.15.0, sendo corrigida na versão 2.5.4.
Um atacante explorando essa vulnerabilidade pode obter acesso não autorizado a arquivos confidenciais armazenados no servidor WordPress, como arquivos de configuração, chaves de API, senhas e dados de usuários. A capacidade de modificar arquivos também permite a injeção de código malicioso, comprometendo a integridade do site e potencialmente permitindo a execução remota de código. O impacto é ampliado se o servidor hospedar múltiplos sites ou dados sensíveis de outros clientes, aumentando o raio de explosão. Essa vulnerabilidade se assemelha a outros ataques de Directory Traversal que resultaram em roubo de dados e comprometimento de sistemas.
A vulnerabilidade foi divulgada em 2025-04-24. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração.
WordPress websites using the WPMasterToolKit plugin, particularly those with administrator accounts that have not been secured with strong passwords or multi-factor authentication, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wpmastertoolkit/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wpmastertoolkit/wp-content/../etc/passwddisclosure
Status do Exploit
EPSS
1.27% (percentil 79%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin WPMasterToolKit (WPMTK) para a versão 2.5.4 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso ao diretório do plugin através de permissões de arquivo no servidor. Implementar um Web Application Firewall (WAF) com regras para bloquear tentativas de acesso a arquivos fora do diretório raiz do WordPress também pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos.
Actualice el plugin WPMasterToolKit (WPMTK) – All in one plugin a la versión 2.5.4 o superior para mitigar la vulnerabilidad de Directory Traversal. Esta actualización corrige la forma en que el plugin maneja las rutas de archivos, previniendo el acceso no autorizado a archivos sensibles en el servidor. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar el plugin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-3300 is a HIGH severity vulnerability in WPMasterToolKit allowing authenticated admins to read/modify arbitrary files, potentially exposing sensitive data.
You are affected if your WordPress site uses WPMasterToolKit version 1.0.0–1.15.0. Check your plugin version and upgrade if necessary.
Upgrade WPMasterToolKit to version 2.5.4 or later. If immediate upgrade is not possible, restrict admin access and implement file access controls.
Currently, there are no known public exploits or active campaigns targeting CVE-2025-3300, but prompt remediation is still recommended.
Refer to the WPMasterToolKit official website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.