Plataforma
wordpress
Componente
wp-pipes
Corrigido em
1.4.3
A vulnerabilidade CVE-2025-48267, classificada como Path Traversal (Acesso Arbitrário a Arquivos), afeta o plugin WP Pipes para WordPress. Essa falha permite que atacantes acessem arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade impacta versões do WP Pipes anteriores à 1.4.3, e uma correção foi lançada na versão 1.4.3.
Um atacante explorando com sucesso essa vulnerabilidade pode ler arquivos fora do diretório raiz do aplicativo, incluindo arquivos de configuração, chaves de API e outros dados sensíveis. Isso pode levar à divulgação de informações confidenciais, comprometimento do servidor e, em alguns casos, execução remota de código, dependendo dos arquivos acessíveis. A exploração bem-sucedida pode resultar em um comprometimento completo do site WordPress e de seus dados associados, com potencial para impactar a reputação e a conformidade regulatória.
A vulnerabilidade foi divulgada em 2025-06-09. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, pois a exploração de Path Traversal é frequentemente simples de implementar.
WordPress websites using the WP Pipes plugin are at risk. Specifically, sites running older versions of WP Pipes (prior to 1.4.3) are vulnerable. Shared hosting environments where users have limited control over plugin updates are particularly susceptible.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-pipes/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-pipes/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.10% (percentil 26%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-48267 é atualizar o plugin WP Pipes para a versão 1.4.3 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso ao diretório do plugin através de permissões de arquivo no servidor. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações com sequências de path traversal (como '../') também pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado.
Actualice el plugin WP Pipes a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o en el repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-48267 is a HIGH severity vulnerability in WP Pipes allowing attackers to read arbitrary files on a WordPress server through path manipulation. It affects versions before 1.4.3.
You are affected if your WordPress site uses WP Pipes version 1.4.2 or earlier. Check your plugin versions and upgrade immediately.
Upgrade WP Pipes to version 1.4.3 or later. If immediate upgrade is not possible, implement WAF rules to block suspicious path traversal attempts.
While no public exploits are currently known, the ease of exploitation suggests it may be targeted. Monitor security advisories for updates.
Check the ThimPress website and WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.