Plataforma
wordpress
Componente
buddypress-xprofile-image-field
Corrigido em
3.0.2
A vulnerabilidade CVE-2025-48158 é um problema de Acesso Arbitrário de Arquivo (Path Traversal) descoberto no plugin BuddyPress XProfile Custom Image Field. Essa falha permite que atacantes acessem arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. O problema afeta versões do plugin de 0.0.0 até 3.0.1, e a correção está disponível na versão 3.0.2.
Um atacante explorando essa vulnerabilidade pode ler arquivos fora do diretório pretendido, incluindo arquivos de configuração, código-fonte e dados sensíveis do usuário. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, execução de código remoto (dependendo dos arquivos acessados) e comprometimento do servidor WordPress. A natureza de Path Traversal permite que o atacante navegue pela estrutura de diretórios do servidor, tornando a exploração relativamente simples, especialmente para usuários com conhecimento básico de WordPress. A falta de validação adequada do caminho do arquivo permite essa manipulação.
A vulnerabilidade foi publicada em 2025-08-20. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração. Verifique regularmente as fontes de inteligência de ameaças para atualizações sobre a exploração desta vulnerabilidade.
WordPress websites utilizing the BuddyPress XProfile Custom Image Field plugin, particularly those running older versions (0.0.0 – 3.0.1), are at risk. Shared hosting environments are particularly vulnerable as a compromise of one site could potentially expose files on the entire server. Sites with weak file permission configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/buddypress-xprofile-image-field/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/uploads/buddypress-xprofile-image-field/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin BuddyPress XProfile Custom Image Field para a versão 3.0.2 ou superior. Se a atualização imediata não for possível, considere implementar restrições de acesso ao diretório raiz do servidor web para limitar o impacto potencial. Além disso, revise as permissões de arquivos e diretórios para garantir que apenas os usuários necessários tenham acesso de leitura. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de Path Traversal também pode ajudar a mitigar o risco. Monitore os logs do servidor WordPress em busca de padrões suspeitos de acesso a arquivos.
Actualice el plugin BuddyPress XProfile Custom Image Field a la versión 3.0.2 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización aborda la falta de limitación adecuada de la ruta de acceso, previniendo la eliminación arbitraria de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-48158 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server through path traversal in the BuddyPress XProfile Custom Image Field plugin.
You are affected if you are using BuddyPress XProfile Custom Image Field versions 0.0.0 through 3.0.1. Upgrade to 3.0.2 or later to resolve the issue.
Upgrade the BuddyPress XProfile Custom Image Field plugin to version 3.0.2 or later. As a temporary workaround, restrict file access and validate user input.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the official BuddyPress XProfile Custom Image Field plugin documentation and WordPress security announcements for the latest advisory information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.