Vulnerabilidad en File Away para WordPress (CVE-2025-2539)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-327
Uso de algoritmo criptográfico vulnerable o inseguro
Fecha de publicación:
20/03/2025
Última modificación:
11/08/2025
Descripción
El complemento File Away para WordPress es vulnerable al acceso no autorizado a datos debido a la falta de una comprobación de capacidad en la función ajax() en todas las versiones hasta la 3.9.9.0.1 incluida. Esto permite que atacantes no autenticados, aprovechando un algoritmo débil reversible, lean el contenido de archivos arbitrarios en el servidor, que pueden contener información confidencial.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:file_away_project:file_away:*:*:*:*:*:wordpress:*:* | 3.9.9.0.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/file-away/trunk/lib/cls/class.fileaway_encrypted.php
- https://plugins.trac.wordpress.org/browser/file-away/trunk/lib/cls/class.fileaway_stats.php
- https://wordpress.org/plugins/file-away/#developers
- https://www.wordfence.com/threat-intel/vulnerabilities/id/5b23bd5c-db27-4d63-8461-1f36958a2ff6?source=cve