Fuente base de datos: Wordfence Intelligence

Simple CSV Table <= 1.0.1 - Directory Traversal to Authenticated (Contributor+) Arbitrary File Read

PLUGIN MEDIUM CVE-2025-12960

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo 'Directory Traversal' en el plugin Simple CSV Table, que permite a usuarios autenticados con rol de 'Contribuidor' y superiores acceder a archivos arbitrarios. Esta vulnerabilidad afecta a la versión 1.0.1 y tiene una severidad media con un CVSS de 6.5.

Contexto técnico

El fallo se origina en la forma en que el plugin gestiona las rutas de archivo, permitiendo a un atacante utilizar secuencias de directorio para acceder a archivos fuera del directorio previsto. Esto se traduce en una exposición de archivos sensibles en el servidor.

Impacto potencial

El acceso no autorizado a archivos puede comprometer datos sensibles y afectar la integridad del sitio web. Además, puede dar lugar a la filtración de información confidencial, lo que podría tener repercusiones legales y de reputación para la organización.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la manipulación de parámetros en las solicitudes HTTP, permitiendo a un atacante autenticado acceder a rutas de archivo no autorizadas.

Mitigación recomendada

Actualizar el plugin Simple CSV Table a la versión 1.0.2 o superior. Revisar las configuraciones de acceso y permisos para usuarios autenticados. Implementar medidas de seguridad adicionales como firewalls y monitorización de accesos.

Señales de detección

Señales de explotación incluyen accesos inusuales a archivos del sistema, solicitudes que intentan acceder a rutas fuera del directorio permitido, y registros de errores que muestran intentos de acceso a archivos no autorizados.

Alcance afectado

La vulnerabilidad afecta a todas las instalaciones que utilicen la versión 1.0.1 del plugin Simple CSV Table, publicada antes del 11 de diciembre de 2025.

Vulnerabilidades relacionadas

HIGH THEME

kiddy

Kiddy <= 2.0.8 - Unauthenticated Local File Inclusion

HIGH PLUGIN

naturalife-extensions

NaturaLife Extensions <= 2.1 - Unauthenticated Local File Inclusion

LOW PLUGIN

keep-backup-daily

Keep Backup Daily <= 2.1.1 - Authenticated (Admin+) Limited Path Traversal via 'kbd_path' Parameter

MEDIUM PLUGIN

emailkit

EmailKit <= 1.6.3 - Authenticated (Administrator+) Path Traversal via 'emailkit-editor-template' REST API Parameter

HIGH THEME

metamax

MetaMax <= 1.1.4 - Unauthenticated Local File Inclusion

HIGH THEME

vintwood

VintWood <= 1.1.8 - Unauthenticated Local File Inclusion

HIGH THEME

trendustry

Trendustry <= 1.1.4 - Unauthenticated Local File Inclusion

HIGH THEME

idealauto

IdealAuto < 3.8.6 - Unauthenticated Local File Inclusion

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto