Plataforma
wordpress
Componente
wp-pipes
Corrigido em
1.4.4
A vulnerabilidade CVE-2025-60227 representa um risco de Acesso Arbitrário de Arquivo (Path Traversal) no plugin WP Pipes para WordPress. Essa falha permite que atacantes maliciosos acessem arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. As versões afetadas são aquelas que variam de 0.0.0 até a versão 1.4.3. Uma correção foi disponibilizada pelo fornecedor.
Um atacante explorando com sucesso essa vulnerabilidade pode ler arquivos fora do diretório web raiz, incluindo arquivos de configuração, chaves de API e dados de usuários. Isso pode levar à divulgação de informações sensíveis, comprometimento do servidor e, em alguns casos, execução remota de código, dependendo dos arquivos acessados e das permissões do servidor web. A exploração bem-sucedida pode resultar em roubo de dados, modificação de arquivos e até mesmo controle total do servidor WordPress. A gravidade da vulnerabilidade é amplificada pela facilidade de exploração, uma vez que não requer autenticação.
A vulnerabilidade foi divulgada em 2025-10-22. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento desta análise. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
WordPress websites utilizing the WP Pipes plugin, particularly those running older versions (0.0.0 - 1.4.3), are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as they may not be able to quickly apply updates or implement workarounds.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-pipes/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-pipes/wp-pipes.php?file=../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.08% (percentil 24%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-60227 é atualizar o plugin WP Pipes para a versão corrigida. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de uploads do WordPress e fortalecer as permissões de arquivos. Utilize um firewall de aplicação web (WAF) com regras para bloquear tentativas de acesso a arquivos fora do diretório web. Monitore os logs do servidor em busca de padrões suspeitos de acesso a arquivos.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-60227 is a HIGH severity vulnerability in WP Pipes allowing attackers to read arbitrary files on a WordPress server. It affects versions 0.0.0 through 1.4.3.
You are affected if your WordPress site uses WP Pipes version 0.0.0 to 1.4.3. Check your plugin versions immediately.
Upgrade WP Pipes to the latest available version as soon as a patch is released by the vendor. Until then, consider WAF rules or restricting file access permissions.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Check the ThimPress website and WordPress plugin repository for updates and advisories related to CVE-2025-60227.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.