Plataforma
wordpress
Componente
newsletters-lite
Corrigido em
4.9.10
Uma vulnerabilidade de Inclusão de Arquivo Local (LFI) foi descoberta no plugin Newsletters para WordPress. Essa falha, presente em versões de 0.0.0 até 4.9.9.9, permite que atacantes autenticados com privilégios de administrador incluam e executem arquivos arbitrários no servidor. A exploração bem-sucedida pode levar à execução de código PHP, comprometendo a confidencialidade, integridade e disponibilidade do sistema.
A vulnerabilidade LFI no Newsletters plugin permite que um atacante autenticado com acesso de administrador inclua e execute código PHP arbitrário no servidor WordPress. Isso significa que um atacante pode, potencialmente, ler arquivos de configuração sensíveis, modificar o código do site ou até mesmo obter controle total sobre o servidor. A exploração pode envolver o upload de um arquivo PHP malicioso e, em seguida, incluí-lo através do parâmetro 'file'. O impacto é significativo, pois a execução de código arbitrário pode levar à completa comprometimento do ambiente WordPress, incluindo a exfiltração de dados confidenciais e a interrupção dos serviços.
A vulnerabilidade CVE-2025-4857 foi divulgada em 31 de maio de 2025. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há provas públicas de exploração ativa, mas a natureza da vulnerabilidade LFI a torna um alvo potencial para atacantes. É crucial aplicar as medidas de mitigação o mais rápido possível para reduzir o risco de exploração.
WordPress websites utilizing the Newsletters plugin, particularly those with administrator accounts that have weak passwords or are susceptible to credential stuffing attacks, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server resources are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
grep -r "file=../" /var/www/wordpress/wp-content/plugins/newsletters/*• wordpress / plugin:
wp plugin list | grep newsletters• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/newsletters/?file=../../../../etc/passwd• generic web:
Check WordPress access logs for requests containing suspicious file paths in the file parameter, such as ../ or absolute paths.
disclosure
Status do Exploit
EPSS
0.21% (percentil 43%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-4857 é atualizar o plugin Newsletters para a versão corrigida, assim que estiver disponível. Enquanto a atualização não estiver disponível, considere as seguintes medidas paliativas: restringir o acesso ao diretório do plugin, implementar regras de firewall (WAF) para bloquear solicitações suspeitas que tentem incluir arquivos arbitrários, e revisar as permissões de arquivos para garantir que apenas usuários autorizados possam modificar os arquivos do plugin. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de acesso a arquivos sensíveis ou execução de código não autorizado. Após a atualização, confirme a correção verificando se o parâmetro 'file' não permite mais a inclusão de arquivos arbitrários.
Actualice el plugin Newsletters a la última versión disponible para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-4857 is a Local File Inclusion vulnerability in the WordPress Newsletters plugin, allowing authenticated attackers to execute arbitrary PHP code. It affects versions 0.0.0–4.9.9.9 and has a HIGH severity rating.
If you are using the WordPress Newsletters plugin in versions 0.0.0 through 4.9.9.9, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade the WordPress Newsletters plugin to a patched version as soon as it is available. Until then, implement WAF rules and restrict file upload permissions as temporary mitigations.
While active exploitation has not been confirmed, the vulnerability is considered high severity and public PoC code is anticipated, increasing the likelihood of exploitation.
Refer to the WordPress security announcements page and the Newsletters plugin's official website for updates and advisories related to CVE-2025-4857.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.