Plataforma
wordpress
Componente
movie-booking
Corrigido em
1.1.6
Uma vulnerabilidade de Path Traversal foi descoberta no plugin Movie Booking, permitindo acesso não autorizado a arquivos no servidor. Essa falha, classificada com CVSS 8.6 (ALTO), permite que atacantes leiam arquivos arbitrários fora do diretório pretendido. Versões afetadas incluem as de 0.0.0 até 1.1.5. A correção está disponível na versão 1.1.6.
A vulnerabilidade de Path Traversal no Movie Booking permite que um atacante explore a falta de validação adequada nos caminhos de arquivos. Ao manipular parâmetros de entrada, um invasor pode construir caminhos que escapam do diretório raiz da aplicação, acessando arquivos confidenciais no servidor. Isso pode incluir arquivos de configuração, código-fonte, logs ou até mesmo dados de outros usuários. O impacto potencial é a exposição de informações sensíveis, comprometimento da integridade do sistema e, em casos extremos, a execução de código malicioso se arquivos executáveis forem acessíveis.
A vulnerabilidade foi divulgada em 2026-01-22. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, pois a exploração é relativamente simples de implementar.
WordPress websites utilizing the Ovatheme Movie Booking plugin, particularly those running versions 0.0.0 through 1.1.5, are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable, as are sites with default or weak file permissions.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/movie-booking/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/movie-booking/../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive | grep movie-bookingdisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2025-67963 é a atualização imediata para a versão 1.1.6 do plugin Movie Booking. Se a atualização imediata não for possível devido a incompatibilidades ou problemas de teste, considere implementar regras de firewall de aplicação web (WAF) para bloquear solicitações com caracteres de path traversal (../). Além disso, revise as permissões de arquivos e diretórios no servidor para garantir que apenas os usuários autorizados tenham acesso. Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado.
Atualize para a versão 1.1.6 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-67963 is a vulnerability in Ovatheme Movie Booking allowing attackers to read arbitrary files on the server. It has a HIGH severity rating (CVSS: 8.6) and affects versions 0.0.0 through 1.1.5.
You are affected if your WordPress site uses the Ovatheme Movie Booking plugin and is running version 0.0.0 through 1.1.5. Check your plugin versions immediately.
Upgrade the Ovatheme Movie Booking plugin to version 1.1.6 or later. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
There is currently no confirmed active exploitation of CVE-2025-67963, but the vulnerability's nature makes it likely that exploits will emerge.
Refer to the official Ovatheme Movie Booking plugin documentation and WordPress security announcements for the latest advisory regarding CVE-2025-67963.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.