CVE-2025-49362

WordPress Gracioza theme <= 1.0.15 - Local File Inclusion vulnerability

CVSS 8.1 HIGHEPSS 0.6%CWE-98

En resumen

El tema Gracioza de WordPress hasta la versión 1.0.15 tiene una falla que permite a atacantes incluir y ejecutar archivos locales arbitrarios en el servidor. Esto puede resultar en acceso no autorizado a información sensible o compromiso del servidor.

Detalle técnico

Existe una vulnerabilidad de Inclusión Local de Archivos (LFI) en PHP en el tema Gracioza debido a la validación inadecuada de parámetros de inclusión de archivos. Un atacante autenticado o no autenticado puede manipular instrucciones include/require para acceder a archivos locales sensibles (como archivos de configuración o código fuente), potencialmente resultando en divulgación de información o ejecución remota de código si se combina con mecanismos de carga de archivos.

Resumen generado y traducido por IA a partir de la descripción oficial.

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in AncoraThemes Gracioza gracioza allows PHP Local File Inclusion.This issue affects Gracioza: from n/a through <= 1.0.15.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

AncoraThemes · Gracioza

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://patchstack.com/database/Wordpress/Theme/gracioza/vulnerability/wordpress-gracioza-theme-1-0-15-local-file-inclusion-vulnerability?_s_id=cve