CVE-2025-4206

Nome do Software Vulnerável e Versões Afetadas Plugin Groundhogg para WordPress, versões até a 4.1.1.2 inclusive.

Descrição O plugin Groundhogg para WordPress está vulnerável à exclusão arbitrária de arquivos devido à validação insuficiente do caminho do arquivo nas funções process export delete e process import delete. Isso possibilita que invasores autenticados, com acesso de nível de Administrador ou superior, excluam arquivos arbitrários no servidor, o que pode levar facilmente à execução remota de código quando o arquivo correto é excluído, como o wp-config.php.

Recomendações Para o plugin Groundhogg para WordPress, versões até a 4.1.1.2 inclusive, atualize para uma versão superior à 4.1.1.2 para resolver o problema. Como medida temporária, considere desativar as funções process export delete e process import delete até que uma correção esteja disponível. Restrinja o acesso a arquivos sensíveis no servidor para minimizar o risco de exploração.