Plataforma
wordpress
Componente
litho
Corrigido em
3.0.1
Uma vulnerabilidade de Path Traversal foi descoberta em themezaa Litho, um plugin para WordPress. Essa falha permite que um atacante acesse arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do Litho de 0.0.0 até 3.0, e uma correção foi lançada na versão 3.0.1.
A vulnerabilidade de Path Traversal no Litho permite que um atacante explore a falta de validação adequada de caminhos de arquivo. Ao manipular os parâmetros de entrada, um invasor pode construir caminhos que escapam do diretório pretendido, acessando arquivos fora do escopo esperado. Isso pode incluir arquivos de configuração, logs ou até mesmo código-fonte do aplicativo WordPress, expondo credenciais, chaves de API ou informações sensíveis sobre a infraestrutura do servidor. O impacto potencial é alto, pois um atacante pode obter acesso não autorizado a dados confidenciais e comprometer a segurança do site WordPress.
A vulnerabilidade CVE-2025-49879 foi publicada em 2025-06-17. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público não foi confirmada, mas a natureza da vulnerabilidade de Path Traversal a torna relativamente fácil de explorar.
WordPress websites using the themezaa Litho theme, particularly those running versions 0.0.0 through 3.0, are at risk. Shared hosting environments where users have limited control over theme updates are especially vulnerable. Sites with sensitive data stored on the server are at higher risk of compromise.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/themes/litho/*• generic web:
curl -I 'http://example.com/wp-content/themes/litho/../../../../etc/passwd'disclosure
Status do Exploit
EPSS
0.10% (percentil 26%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2025-49879 é atualizar o plugin Litho para a versão 3.0.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório raiz do servidor através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos e implemente um sistema de detecção de intrusão para identificar atividades maliciosas. Após a atualização, verifique se o acesso a arquivos sensíveis fora do diretório do plugin está bloqueado.
Actualice el tema Litho a una versión corregida. Verifique el sitio web del desarrollador o el repositorio de WordPress para obtener la última versión disponible. Como no se especifica una versión corregida en el CVE, contacte al desarrollador para obtener más información.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-49879 is a HIGH severity vulnerability in the Litho WordPress theme allowing attackers to read arbitrary files via path traversal. It affects versions 0.0.0–3.0.
You are affected if your WordPress site uses the Litho theme and is running version 3.0 or earlier. Upgrade to 3.0.1 to resolve the issue.
Upgrade the Litho WordPress theme to version 3.0.1 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There is currently no indication that CVE-2025-49879 is being actively exploited, but it's crucial to apply the patch promptly.
Refer to the themezaa website or WordPress plugin repository for the official advisory and update information regarding CVE-2025-49879.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.