Plataforma
wordpress
Componente
download-counter
Corrigido em
1.4.1
Uma vulnerabilidade de Path Traversal foi identificada no plugin Download Counter, permitindo acesso não autorizado a arquivos no servidor. Essa falha, classificada com severidade alta (CVSS 7.5), afeta versões do Download Counter desde 0.0.0 até 1.4. A correção foi disponibilizada na versão 1.4.1.
A vulnerabilidade de Path Traversal permite que um atacante, através de manipulação de parâmetros na requisição, acesse arquivos fora do diretório previsto pelo plugin Download Counter. Isso pode incluir arquivos de configuração sensíveis, código fonte ou outros dados confidenciais armazenados no servidor web. Um atacante com acesso a esses arquivos pode comprometer a integridade do sistema, obter informações confidenciais ou até mesmo executar código malicioso. A exploração bem-sucedida pode levar à divulgação de informações confidenciais e à tomada de controle do servidor.
A vulnerabilidade foi divulgada em 2025-11-06. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
WordPress sites utilizing the Anatoly Download Counter plugin, particularly those running older versions (0.0.0–1.4), are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/download-counter/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/download-counter/download.php?file=../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.09% (percentil 25%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata do plugin Download Counter para a versão 1.4.1 ou superior. Se a atualização imediata não for possível, implemente medidas de segurança adicionais, como a restrição de acesso ao diretório do plugin através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado, utilizando padrões de Path Traversal (ex: '../').
Actualice el plugin Download Counter a la última versión disponible para corregir la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como limitar los permisos de archivo y directorio, para mitigar el riesgo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-60242 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server through path traversal in the Anatoly Download Counter plugin versions 0.0.0–1.4.
You are affected if your WordPress site uses the Anatoly Download Counter plugin and is running a version between 0.0.0 and 1.4, inclusive.
Upgrade the Anatoly Download Counter plugin to version 1.4.1 or later. Consider WAF rules to block path traversal attempts as a temporary measure.
There is currently no evidence of active exploitation campaigns targeting CVE-2025-60242, but it's crucial to apply the patch promptly.
Refer to the Anatoly Download Counter plugin's official website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.