Vulnerabilidad en Thim Blocks de thimpress (CVE-2025-13725)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
17/01/2026
Última modificación:
15/04/2026
Descripción
El plugin Gutenberg Thim Blocks – Page Builder, Gutenberg Blocks para the Block Editor para WordPress es vulnerable a lecturas arbitrarias de archivos en todas las versiones hasta la 1.0.1, inclusive. Esto se debe a una validación de ruta insuficiente en la renderización del lado del servidor del bloque thim-blocks/icon. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, lean el contenido de archivos arbitrarios en el servidor a través del parámetro 'iconSVG', que puede contener información sensible como wp-config.php.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/thim-blocks/tags/1.0.1/inc/Gutenberg/Blocks/Icon/IconBlockType.php#L92
- https://plugins.trac.wordpress.org/browser/thim-blocks/tags/1.0.1/inc/Gutenberg/Blocks/Icon/IconBlockType.php#L97
- https://plugins.trac.wordpress.org/browser/thim-blocks/trunk/inc/Gutenberg/Blocks/Icon/IconBlockType.php#L92
- https://plugins.trac.wordpress.org/browser/thim-blocks/trunk/inc/Gutenberg/Blocks/Icon/IconBlockType.php#L97
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3419638%40thim-blocks&new=3419638%40thim-blocks&sfp_email=&sfph_mail=
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3424998%40thim-blocks&new=3424998%40thim-blocks&sfp_email=&sfph_mail=
- https://www.wordfence.com/threat-intel/vulnerabilities/id/80de464f-a4b0-4aaf-8869-f8d29a422bdb?source=cve