Plataforma
wordpress
Componente
anona
Corrigido em
8.0.1
Uma vulnerabilidade de Acesso Arbitrário de Arquivo (Path Traversal) foi identificada no plugin Anona da AivahThemes. Esta falha permite que atacantes acessem arquivos fora do diretório pretendido, potencialmente expondo informações sensíveis do sistema. A vulnerabilidade afeta versões do Anona de 0.0.0 até a versão 8.0. A correção oficial está disponível e deve ser aplicada o mais rápido possível.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante acesse arquivos arbitrários no servidor web. Isso pode incluir arquivos de configuração, código-fonte, backups de banco de dados e outros dados confidenciais. Um atacante pode usar essa vulnerabilidade para obter informações sensíveis, comprometer a integridade do sistema ou até mesmo executar código malicioso. O impacto potencial é alto, especialmente em ambientes de produção onde dados confidenciais são armazenados. A ausência de validação adequada do caminho do arquivo permite que atacantes manipulem a requisição para acessar recursos não autorizados.
A vulnerabilidade foi publicada em 2026-01-22. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A ausência de um Proof of Concept (PoC) público sugere um risco menor de exploração imediata, mas a natureza da vulnerabilidade (Path Traversal) a torna um alvo potencial para exploração futura.
Websites using the Anona WordPress plugin, particularly those running older versions (0.0.0 - 8.0), are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and file permissions. Administrators who haven't implemented robust security practices or regularly monitor their WordPress installations are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/anona/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/anona/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Anona para a versão corrigida, assim que estiver disponível. Enquanto a atualização não é possível, considere implementar medidas de segurança adicionais. Restrinja o acesso a diretórios sensíveis no servidor web usando as configurações do servidor. Implemente regras de firewall para bloquear o acesso não autorizado a arquivos. Monitore os logs do servidor em busca de tentativas de acesso suspeitas. Verifique, após a atualização, se o acesso a arquivos sensíveis está devidamente restrito e se não há erros de configuração.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68901 is a HIGH severity vulnerability in the Anona WordPress plugin allowing attackers to read files outside the intended web root through path traversal.
If you are using Anona WordPress plugin versions 0.0.0 through 8.0, you are potentially affected by this vulnerability.
Upgrade to a patched version of the Anona plugin as soon as it becomes available. Until then, implement WAF rules and restrict file permissions.
Currently, there are no known public exploits or confirmed active exploitation campaigns for CVE-2025-68901.
Refer to the AivahThemes website and WordPress plugin repository for official advisories and updates regarding CVE-2025-68901.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.