Plataforma
wordpress
Componente
spice-blocks
Corrigido em
2.0.8
A vulnerabilidade CVE-2025-48130 representa um problema de Acesso Arbitrário de Arquivo (Path Traversal) identificado em Spice Blocks, um plugin para WordPress. Essa falha permite que atacantes maliciosos acessem arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. As versões afetadas incluem todas de 0.0.0 até 2.0.7.4, e uma correção foi lançada na versão 2.0.7.5.
Um atacante explorando com sucesso essa vulnerabilidade pode ler arquivos fora do diretório raiz da aplicação, incluindo arquivos de configuração, chaves de API, e dados sensíveis de usuários. Isso pode levar à divulgação de informações confidenciais, comprometimento do servidor, ou até mesmo execução remota de código, dependendo dos arquivos acessíveis e das permissões do usuário do servidor web. A exploração bem-sucedida pode resultar em um impacto significativo na confidencialidade, integridade e disponibilidade do sistema WordPress.
A vulnerabilidade foi publicada em 2025-06-09. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a natureza da vulnerabilidade de Path Traversal é bem compreendida e pode ser explorada por atacantes com conhecimento técnico.
WordPress websites utilizing the Spice Blocks plugin, particularly those running versions 0.0.0 through 2.0.7.4, are at risk. Shared hosting environments where plugin configurations are less controlled are also more vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/spice-blocks/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/spice-blocks/../../../../etc/passwd' # Check for file accessdisclosure
Status do Exploit
EPSS
0.13% (percentil 32%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-48130 é atualizar o plugin Spice Blocks para a versão 2.0.7.5 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório raiz do servidor web através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor web em busca de tentativas de acesso a arquivos fora do diretório esperado, utilizando padrões de URL que contenham sequências como '../'.
Atualize para a versão 2.0.7.5, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-48130 is a HIGH severity vulnerability in Spice Blocks for WordPress that allows attackers to read arbitrary files on the server.
Yes, if you are using Spice Blocks versions 0.0.0 through 2.0.7.4, you are affected by this vulnerability.
Upgrade Spice Blocks to version 2.0.7.5 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrading is not possible.
As of the current disclosure date, there are no confirmed reports of active exploitation, but proactive patching is recommended.
Refer to the Spice Blocks official website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.