Plataforma
wordpress
Componente
hostmev2
Corrigido em
7.0.1
Uma vulnerabilidade de Path Traversal foi descoberta em Hostme v2, um tema para WordPress. Essa falha permite que atacantes acessem arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do Hostme v2 de 0.0.0 até 7.0. A correção foi disponibilizada em versões posteriores.
A vulnerabilidade de Path Traversal em Hostme v2 permite que um atacante, através de requisições maliciosas, acesse arquivos fora do diretório pretendido. Isso pode incluir arquivos de configuração, código-fonte, backups ou outros dados sensíveis armazenados no servidor web. Um atacante pode usar essa vulnerabilidade para obter informações confidenciais, comprometer a integridade do sistema ou até mesmo executar código malicioso no servidor, dependendo das permissões dos arquivos acessados. A exploração bem-sucedida pode resultar em roubo de dados, defacement do site ou controle total do servidor.
A vulnerabilidade foi divulgada em 2026-01-22. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. Consulte o NVD (National Vulnerability Database) para obter informações adicionais.
Websites using the Hostme v2 WordPress theme, particularly those running older versions (0.0.0 - 7.0), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over plugin configurations and file permissions.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/themes/hostmev2/*• generic web:
curl -I 'http://example.com/wp-content/themes/hostmev2/../../../../etc/passwd' # Check for directory traversaldisclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-68907 é atualizar o tema Hostme v2 para a versão mais recente, que corrige a vulnerabilidade de Path Traversal. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso ao diretório do tema através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado, utilizando padrões de URL que contenham sequências como '../'. Após a atualização, verifique se o acesso aos arquivos sensíveis está devidamente restrito.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68907 is a vulnerability in Hostme v2 allowing attackers to read files outside of intended directories via path manipulation. It's rated HIGH severity (CVSS 7.5) and affects versions 0.0.0 through 7.0.
If you are using Hostme v2 version 0.0.0 to 7.0 on your WordPress site, you are potentially affected. Check for updates from AivahThemes immediately.
Upgrade Hostme v2 to the latest patched version as soon as it's released by AivahThemes. Implement WAF rules to block path traversal attempts as an interim measure.
As of now, there are no confirmed reports of active exploitation of CVE-2025-68907, but it's crucial to apply mitigations proactively.
Check the AivahThemes website and WordPress plugin repository for updates and security advisories related to Hostme v2 and CVE-2025-68907.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.