Plataforma
wordpress
Componente
tainacan
Corrigido em
0.21.15
Uma vulnerabilidade de Acesso Arbitrário de Arquivos (Path Traversal) foi identificada no plugin Tainacan para WordPress. Essa falha permite que atacantes acessem arquivos no servidor além do diretório pretendido, potencialmente expondo informações sensíveis ou permitindo a execução de código malicioso. A vulnerabilidade afeta versões do Tainacan de 0.0.0 até 0.21.14, sendo corrigida na versão 0.21.15.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso não autorizado a arquivos no servidor web. Isso pode incluir arquivos de configuração, código-fonte, backups de banco de dados ou outros dados confidenciais. Em cenários mais graves, um atacante pode usar essa vulnerabilidade para executar código arbitrário no servidor, comprometendo completamente o sistema. A gravidade do impacto depende do tipo de informações acessíveis e das permissões do usuário que executa o código vulnerável.
A vulnerabilidade foi divulgada em 23 de maio de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
WordPress sites utilizing the Tainacan plugin, particularly those with older versions (0.0.0–0.21.14), are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as are systems with default file permissions.
• wordpress / composer / npm:
grep -r "../" /var/www/html/tainacan/*• generic web:
curl -I http://your-wordpress-site.com/tainacan/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list | grep tainacan• wordpress / composer / npm:
wp plugin update tainacandisclosure
Status do Exploit
EPSS
0.38% (percentil 59%)
CISA SSVC
Vetor CVSS
A correção primária é atualizar o plugin Tainacan para a versão 0.21.15 ou superior. Enquanto a atualização não for possível, implemente medidas de mitigação, como restringir o acesso ao diretório raiz do servidor web. Utilize um Web Application Firewall (WAF) para bloquear solicitações que contenham sequências de path traversal (por exemplo, '../'). Monitore os logs do servidor web em busca de tentativas de acesso a arquivos fora do diretório esperado. Após a atualização, confirme a correção verificando se o acesso a arquivos sensíveis fora do diretório do plugin é bloqueado.
Actualice el plugin Tainacan a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique la página del plugin en WordPress.org para obtener las actualizaciones más recientes y las instrucciones de instalación. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-47512 is a HIGH severity vulnerability affecting the Tainacan WordPress plugin, allowing attackers to read arbitrary files on the server through path manipulation. It impacts versions 0.0.0–0.21.14.
If you are using Tainacan WordPress plugin versions 0.0.0 through 0.21.14, you are potentially affected by this vulnerability. Check your plugin version and upgrade immediately.
Upgrade the Tainacan plugin to version 0.21.15 or later to resolve this Arbitrary File Access vulnerability. If immediate upgrade is not possible, implement stricter file access controls.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-47512, but the vulnerability's nature suggests potential for future exploitation.
Refer to the official Tainacan plugin website or WordPress plugin repository for the latest advisory and update information regarding CVE-2025-47512.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.