PT-2025-12329 · WordPress · File Away

Sélim Lanouar

·

Publicado

2025-03-20

·

Atualizado

2025-06-27

·

CVE-2025-2539

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Plugin File Away para WordPress, versões até e incluindo a 3.9.9.0.1
Descrição A falha permite acesso não autorizado a dados devido à falta de uma verificação de capacidade na função ajax(). Isso possibilita que atacantes não autenticados leiam o conteúdo de arquivos arbitrários no servidor, que podem conter informações sensíveis, utilizando um algoritmo fraco e reversível.
Recomendações Para versões até e incluindo a 3.9.9.0.1, atualize para uma versão que inclua uma correção para a verificação de capacidade ausente na função ajax(), a fim de prevenir acesso não autorizado. Como medida temporária, considere desativar a função ajax() no plugin File Away até que uma correção esteja disponível.

Exploit

Correção

Use of a Broken Cryptographic Algorithm

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-327

Identificadores relacionados

CVE-2025-2539

Produtos afetados

File Away