Plataforma
wordpress
Componente
hdforms
Corrigido em
1.6.2
Uma vulnerabilidade de Path Traversal foi identificada no plugin HDForms, permitindo que atacantes acessem arquivos arbitrários no servidor. Essa falha, classificada com um CVSS de 8.6 (ALTO), pode levar à exposição de informações confidenciais. As versões afetadas são as que variam de 0.0.0 até a 1.6.1, sendo a correção disponível na versão 1.6.2.
A vulnerabilidade de Path Traversal em HDForms permite que um atacante, através de requisições maliciosas, contorne as restrições de diretório e acesse arquivos que não deveriam estar acessíveis. Isso pode incluir arquivos de configuração, código-fonte, backups de banco de dados ou outros dados sensíveis armazenados no servidor web. Um atacante com acesso a esses arquivos pode comprometer a confidencialidade, integridade e disponibilidade do sistema. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, execução remota de código (dependendo dos arquivos acessados) e, potencialmente, ao controle total do servidor.
A vulnerabilidade CVE-2025-68912 foi publicada em 2026-01-22. Não há informações disponíveis sobre a inclusão em KEV (CISA Known Exploited Vulnerabilities) ou um EPSS (Exploit Prediction Scoring System) score. Atualmente, não há um Proof of Concept (PoC) público amplamente divulgado, mas a natureza da vulnerabilidade de Path Traversal a torna um alvo potencial para exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar qualquer atividade maliciosa relacionada a esta vulnerabilidade.
WordPress websites utilizing the HDForms plugin, particularly those running versions 0.0.0 through 1.6.1, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server file permissions. Sites with legacy configurations or those lacking robust input validation practices are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/hdforms/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/hdforms/../../../../etc/passwd" # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.09% (percentil 25%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 1.6.2 do plugin HDForms. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de instalação do plugin através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor web em busca de tentativas de acesso a arquivos fora do diretório esperado do plugin. Implementar uma política de segurança de conteúdo (CSP) pode ajudar a mitigar o impacto de uma exploração bem-sucedida.
Atualize para a versão 1.6.2 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68912 is a HIGH severity vulnerability in HDForms allowing attackers to read arbitrary files on a WordPress server. It affects versions 0.0.0 through 1.6.1.
You are affected if your WordPress site uses HDForms version 0.0.0 to 1.6.1. Check your plugin versions immediately.
Upgrade HDForms to version 1.6.2 or later to resolve the vulnerability. Implement temporary workarounds like file access restrictions if immediate upgrade is not possible.
There is currently no confirmed active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the official HDForms website or WordPress plugin repository for the latest security advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.