Plataforma
wordpress
Componente
fw-food-menu
Corrigido em
6.0.1
A vulnerabilidade CVE-2025-49448 é classificada como Path Traversal (Acesso Arbitrário a Arquivos) no plugin FW Food Menu da Fastw3b LLC. Essa falha permite que um atacante explore a falta de restrição de caminho para acessar arquivos fora do diretório pretendido, potencialmente expondo informações confidenciais do servidor. A vulnerabilidade afeta versões do plugin a partir de n/a até a versão 6.0.0, sendo corrigida na versão 6.0.1.
Um atacante explorando com sucesso essa vulnerabilidade pode obter acesso não autorizado a arquivos no servidor web, incluindo arquivos de configuração, código-fonte e dados sensíveis dos usuários. Isso pode levar à divulgação de informações confidenciais, execução remota de código (se arquivos executáveis forem acessíveis) e comprometimento completo do servidor. A capacidade de ler arquivos arbitrários no sistema de arquivos representa um risco significativo para a confidencialidade, integridade e disponibilidade do sistema.
A vulnerabilidade foi publicada em 2025-06-27. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver seus próprios exploits.
WordPress websites utilizing the FW Food Menu plugin are at risk. This includes sites with legacy configurations, shared hosting environments where file permissions may be less restrictive, and those that haven't implemented robust security monitoring practices. Sites using older, unmaintained versions of WordPress are also at increased risk due to potential compatibility issues with the updated plugin.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/fw-food-menu/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/fw-food-menu/../../../../etc/passwd' # Check for file disclosure• wordpress / composer / npm:
wp plugin list --status=active | grep 'fw-food-menu'• wordpress / composer / npm:
wp plugin update fw-food-menudisclosure
Status do Exploit
EPSS
0.10% (percentil 26%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-49448 é atualizar o plugin FW Food Menu para a versão 6.0.1 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado.
Actualice el plugin FW Food Menu a la última versión disponible para corregir la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-49448 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server through the FW Food Menu plugin. It affects versions before 6.0.1 and requires immediate attention.
You are affected if your WordPress site uses the FW Food Menu plugin and is running a version prior to 6.0.1. Check your plugin versions and upgrade immediately if vulnerable.
Upgrade the FW Food Menu plugin to version 6.0.1 or later. If upgrading is not possible, implement a WAF rule to block path traversal attempts and restrict file permissions.
There is currently no confirmed active exploitation of CVE-2025-49448, but the vulnerability's nature makes it a potential target for opportunistic attacks.
Refer to the official FW Food Menu website or WordPress plugin repository for the latest advisory and update information regarding CVE-2025-49448.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.