Plataforma
wordpress
Componente
bm-builder
Corrigido em
3.16.4
Uma vulnerabilidade de Path Traversal (Acesso Arbitrário a Arquivos) foi descoberta no BM Content Builder, um plugin para WordPress. Essa falha permite que atacantes acessem arquivos arbitrários no servidor, potencialmente expondo informações sensíveis ou executando código malicioso. As versões afetadas são da 0.0.0 até a 3.16.3.3. A correção para essa vulnerabilidade foi lançada na versão 3.16.3.3.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso não autorizado a arquivos no servidor onde o BM Content Builder está instalado. Isso pode incluir arquivos de configuração, arquivos de log, ou até mesmo arquivos do código fonte da aplicação WordPress. Um atacante pode usar essa informação para comprometer a segurança do servidor, roubar dados confidenciais, ou até mesmo executar código malicioso. O impacto potencial é alto, especialmente em ambientes de produção onde dados sensíveis são armazenados. A capacidade de ler arquivos arbitrários abre portas para a exfiltração de credenciais, chaves de API e outras informações confidenciais, permitindo o acesso a outros sistemas e dados. A vulnerabilidade pode ser explorada remotamente sem a necessidade de autenticação, aumentando o risco de ataques.
A vulnerabilidade foi divulgada em 26 de setembro de 2025. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) até o momento. A ausência de um Proof of Concept (PoC) público não diminui a seriedade da vulnerabilidade, pois a exploração de Path Traversal é relativamente simples.
WordPress sites utilizing the BM Content Builder plugin, particularly those running older versions (0.0.0–3.16.3.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with sensitive data stored in configuration files or accessible through the WordPress file system are at higher risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/bm-builder/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/bm-builder/../../../../etc/passwd' # Check for file accessdisclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o BM Content Builder para a versão 3.16.3.3 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório. Implementar um Web Application Firewall (WAF) com regras para bloquear tentativas de Path Traversal também pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de padrões suspeitos de acesso a arquivos, como solicitações com sequências de diretórios como '../'.
Actualice el plugin BM Content Builder a la versión 3.16.3.4 o superior para mitigar la vulnerabilidad de recorrido de ruta. Verifique las fuentes oficiales del plugin o el repositorio de WordPress para obtener la última versión. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-59002 is a HIGH severity vulnerability in BM Content Builder allowing attackers to read arbitrary files via path traversal. It affects versions 0.0.0–3.16.3.3.
You are affected if your WordPress site uses BM Content Builder versions 0.0.0 through 3.16.3.3. Check your plugin versions immediately.
Upgrade BM Content Builder to version 3.16.3.3 or later. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
There is currently no confirmed active exploitation of CVE-2025-59002, but the vulnerability's nature makes it a potential target.
Refer to the BM Content Builder official website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.