Plataforma
wordpress
Componente
anona
Corrigido em
8.0.1
A vulnerabilidade CVE-2025-68902 representa uma falha de Path Traversal (Acesso Arbitrário a Arquivos) no plugin Anona, desenvolvido pela AivahThemes. Essa falha permite que atacantes acessem arquivos sensíveis no servidor, potencialmente comprometendo a integridade e confidencialidade dos dados. As versões afetadas incluem todas de 0.0.0 até a versão 8.0. A correção oficial está pendente, exigindo a implementação de medidas de mitigação.
Um atacante explorando com sucesso essa vulnerabilidade pode ler arquivos arbitrários no servidor onde o plugin Anona está instalado. Isso inclui arquivos de configuração, código-fonte, dados de usuários e outros arquivos sensíveis. O impacto potencial é significativo, podendo levar à divulgação de informações confidenciais, execução de código malicioso (se o atacante conseguir escrever em arquivos) e comprometimento completo do servidor WordPress. A falta de validação adequada do caminho do arquivo permite que um atacante manipule a requisição para acessar arquivos fora do diretório pretendido, contornando as restrições de segurança.
A vulnerabilidade foi divulgada em 2026-01-22. Atualmente, não há evidências de exploração ativa em campanhas direcionadas, mas a natureza da vulnerabilidade (Path Traversal) a torna um alvo atraente para atacantes automatizados. Não está listada no KEV da CISA. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração é relativamente simples.
WordPress sites using the Anona plugin, particularly those with default configurations or shared hosting environments, are at increased risk. Sites that haven't implemented robust file access controls or regularly scan for vulnerabilities are also more vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/anona/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/anona/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive --all | grep anonadisclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
Como a correção oficial ainda não foi lançada, a mitigação imediata envolve a desativação do plugin Anona ou a restrição do acesso ao diretório onde ele está instalado. Implementar regras de firewall (WAF) para bloquear requisições com caracteres de path traversal (../) pode ajudar a prevenir a exploração. Além disso, é crucial realizar auditorias regulares de segurança no servidor WordPress e manter todos os plugins e temas atualizados. Monitore os logs do servidor em busca de tentativas de acesso a arquivos inesperados.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68902 is a HIGH severity vulnerability in the Anona WordPress plugin allowing attackers to read arbitrary files on the server through path traversal. It affects versions 0.0.0 through 8.0.
If you are using the Anona WordPress plugin in versions 0.0.0 through 8.0, you are potentially affected by this vulnerability. Check your plugin version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of the Anona plugin. Until a patch is released, consider temporary workarounds like WAF rules and restricting file access permissions.
As of the publication date, there is no confirmed active exploitation of CVE-2025-68902, but the vulnerability's nature suggests potential for exploitation.
Refer to the AivahThemes website and WordPress plugin repository for official advisories and updates related to CVE-2025-68902.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.