Plataforma
wordpress
Componente
workreap
Corrigido em
3.3.6
A vulnerabilidade CVE-2025-59566 representa um problema de Path Traversal (Acesso Arbitrário de Arquivos) identificado no plugin Workreap para WordPress, desenvolvido pela AmentoTech. Essa falha permite que atacantes maliciosos acessem arquivos e diretórios no servidor web, potencialmente expondo informações confidenciais. As versões afetadas incluem aquelas de 0.0.0 até 3.3.5, sendo a correção disponível na versão 3.3.6.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante acesse arquivos arbitrários no servidor web onde o plugin Workreap está instalado. Isso pode incluir arquivos de configuração, código-fonte, logs e outros dados sensíveis. Um atacante poderia, por exemplo, ler o arquivo wp-config.php, obtendo acesso às credenciais do banco de dados WordPress. Além disso, dependendo das permissões do servidor, o atacante pode ser capaz de modificar ou até mesmo executar arquivos, levando a um comprometimento total do site. A falta de validação adequada do caminho do arquivo é a causa raiz, permitindo que atacantes usem sequências como ../ para navegar para fora do diretório pretendido.
A vulnerabilidade foi divulgada em 2025-10-22. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há relatos públicos de exploração ativa, mas a natureza da vulnerabilidade de Path Traversal a torna um alvo atraente para atacantes. É recomendável monitorar as fontes de inteligência de ameaças para detectar qualquer atividade suspeita.
WordPress websites utilizing the Workreap plugin, particularly those running older versions (0.0.0–3.3.5), are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable, as are websites with limited security configurations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/workreap/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/workreap/wp-content/../etc/passwd' # Attempt path traversaldisclosure
Status do Exploit
EPSS
0.07% (percentil 20%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-59566 é atualizar o plugin Workreap para a versão 3.3.6 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin Workreap. Como medida adicional, implemente regras em um Web Application Firewall (WAF) para bloquear solicitações que contenham sequências de Path Traversal, como ../. Monitore os logs do servidor web em busca de tentativas de acesso a arquivos fora do diretório esperado do plugin.
Actualice el plugin Workreap a una versión posterior a 3.3.5 para mitigar la vulnerabilidad de recorrido de ruta. Verifique la página del plugin en WordPress.org para obtener la última versión disponible y siga las instrucciones de actualización proporcionadas por el desarrollador.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-59566 is a HIGH severity vulnerability in the Workreap plugin for WordPress that allows attackers to read arbitrary files on the server due to improper path validation.
You are affected if you are using Workreap plugin versions 0.0.0 through 3.3.5. Upgrade to version 3.3.6 to resolve the vulnerability.
Upgrade the Workreap plugin to version 3.3.6 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
As of the public disclosure date, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention.
Refer to the AmentoTech advisory and the WordPress plugin directory for updates and further information regarding CVE-2025-59566.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.