Plataforma
wordpress
Componente
kallyas
Corrigido em
4.21.1
Uma vulnerabilidade de exclusão arbitrária de pastas foi descoberta no tema KALLYAS para WordPress. Essa falha, presente em versões de 0.0.0 até 4.21.0, permite que atacantes autenticados com acesso de Contributor ou superior deletem pastas no servidor. A vulnerabilidade reside na função delete_font() devido à falta de validação adequada do caminho do arquivo. Uma correção foi disponibilizada e a atualização para a versão mais recente é recomendada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante autenticado, com privilégios mínimos de Contributor, execute a exclusão de pastas arbitrárias no servidor onde o tema KALLYAS está instalado. Isso pode levar à perda de dados críticos, interrupção do serviço e, potencialmente, à tomada de controle do servidor. A capacidade de deletar pastas permite a remoção de arquivos de configuração, temas, plugins e outros componentes essenciais, comprometendo a integridade e a disponibilidade do site WordPress. A ausência de validação adequada do caminho do arquivo torna a exploração relativamente simples, especialmente para atacantes com algum conhecimento de WordPress.
A vulnerabilidade foi publicada em 2025-07-26. Não há indicações de que esta vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas, mas a facilidade de exploração e a ampla utilização do tema KALLYAS a tornam um alvo atraente para atacantes. A ausência de um KEV listing sugere que a probabilidade de exploração em larga escala ainda é baixa, mas a possibilidade existe. A existência de um proof-of-concept público pode acelerar a exploração.
Websites using the KALLYAS theme, particularly those with contributor-level users who have write access to the WordPress file system, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Sites running older, unpatched versions of the theme are most susceptible.
• wordpress / composer / npm:
wp plugin list | grep kallyas• wordpress / composer / npm:
grep -r 'delete_font(' /var/www/html/wp-content/plugins/kallyas/*• wordpress / composer / npm:
wp plugin update kallyas --all• wordpress / composer / npm:
wp theme list | grep kallyasdisclosure
Status do Exploit
EPSS
0.09% (percentil 26%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata do tema KALLYAS para a versão corrigida, que aborda a falha de validação do caminho do arquivo. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar medidas de mitigação temporárias. Restringir o acesso de usuários com privilégios de Contributor ou superiores pode reduzir o risco de exploração. Além disso, a implementação de regras de firewall de aplicação web (WAF) para bloquear solicitações maliciosas que tentam acessar a função delete_font() pode fornecer uma camada adicional de proteção. Monitore os logs do servidor em busca de tentativas de exclusão de arquivos suspeitas.
Actualice el tema Kallyas a la última versión disponible para solucionar la vulnerabilidad de eliminación arbitraria de carpetas. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de actualizar el tema. Verifique que los permisos de los archivos y carpetas sean los correctos para evitar accesos no autorizados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-6989 is a high-severity vulnerability in the KALLYAS WordPress theme allowing authenticated users to delete server folders due to flawed file path validation.
If you are using the KALLYAS WordPress theme version 0.0.0 through 4.21.0, you are potentially affected. Check your theme version and upgrade immediately.
Upgrade to the latest version of the KALLYAS theme. Consult the theme developer's website for the latest release and instructions.
While no active exploitation campaigns have been confirmed, the vulnerability is public and poses a significant risk. Monitor your systems for suspicious activity.
Refer to the KALLYAS theme developer's website or WordPress plugin repository for the official advisory and patch information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.