Plataforma
wordpress
Componente
seofy-core
Corrigido em
1.6.9
A vulnerabilidade CVE-2025-39473 é uma falha de Path Traversal identificada no Seofy Core, um plugin para WordPress. Essa falha permite a Inclusão de Arquivos Locais PHP (LFI), possibilitando que um atacante acesse arquivos arbitrários no servidor. Versões afetadas incluem do lançamento inicial até a versão 1.6.8. A correção foi disponibilizada na versão 1.6.11.
Um atacante explorando essa vulnerabilidade pode obter acesso não autorizado a arquivos confidenciais armazenados no servidor web, como arquivos de configuração, chaves de API ou mesmo código-fonte do aplicativo. A inclusão de arquivos locais permite a leitura de arquivos fora do diretório esperado, abrindo caminho para a execução de código malicioso ou a exfiltração de dados sensíveis. Em cenários mais graves, um atacante pode até mesmo comprometer o servidor inteiro, dependendo das permissões dos arquivos acessados e da configuração do ambiente.
A vulnerabilidade foi publicada em 2025-06-09. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
WordPress websites utilizing the Seofy Core plugin, particularly those running versions 0.0.0 through 1.6.8, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as are sites with legacy configurations that haven't been regularly updated.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/seofy-core/*• generic web:
curl -I http://example.com/wp-content/plugins/seofy-core/../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.07% (percentil 20%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-39473 é atualizar o Seofy Core para a versão 1.6.11 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de regras de firewall (WAF) ou proxies reverso. Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado. Após a atualização, verifique se a vulnerabilidade foi corrigida acessando o plugin e confirmando que a inclusão de arquivos locais não é mais possível.
Atualize para a versão 1.6.11, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-39473 is a Path Traversal vulnerability in Seofy Core allowing PHP Local File Inclusion, potentially exposing sensitive data or enabling code execution.
You are affected if your WordPress site uses Seofy Core versions 0.0.0 through 1.6.8. Check your plugin versions and upgrade immediately.
Upgrade Seofy Core to version 1.6.11 or later. If immediate upgrade isn't possible, implement temporary workarounds like restricting file access and using a WAF.
As of the last update, there are no known public exploits or active campaigns targeting CVE-2025-39473, but vigilance is still advised.
Refer to the official Seofy Core project website or WordPress plugin repository for the latest advisory and security updates related to CVE-2025-39473.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.