Vulnerabilidades críticas en WordPress 2025

Vulnerabilidad - 29 de mayo

Introducción

La vulnerabilidad CVE-2025-47577 es una falla crítica que afecta al plugin TI WooCommerce Whishlist de WordPress y que permite la carga sin restricciones de archivos con tipos peligrosos, lo que podría permitir que un atacante subiese un archivo malicioso a la web.

Análisis

CVE-2025-47577 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10

CVE-2025-47577 afecta al plugin TI WooCommerce Wishlist para WordPress, ampliamente utilizado en tiendas en líneas que ofrecen la funcionalidad de listas de deseos. Esta vulnerabilidad no impone las restricciones adecuadas sobre los tipos de archivos que se pueden subir, lo que posibilita que un atacante cargue scripts maliciosos directamente en el servidor.

Versiones afectadas

• Todas las versiones de WordPress hasta la 2.9.2 inclusive

Recomendaciones

• Se recomienda a los desarrolladores de plugins que eliminen o eviten configurar 'test_type' => false al usar wp_handle_upload()
• Se insta a los usuarios a desactivar y eliminar el plugin de sus sitios

Workarounds

No hay workarounds disponibles para esta vulnerabilidad. 

Referencias

• https://thehackernews.com/2025/05/over-100000-wordpress-sites-at-risk.html
• https://access.redhat.com/security/cve/cve-2025-47577

Vulnerabilidad - 1 de agosto

Introducción

CVE-2025-5394 es una vulnerabilidad crítica en el tema de WordPress Alone – Charity Multipurpose Non‑profit. Desde mediados de julio, se han bloqueado más de 120 000 intentos de ataque que intentaban subir plugins falsos como wp-classic-editor.zip o background-image-cropper.zip, conteniendo shells PHP o backdoors y luego crear cuentas administrativas o exfiltrar datos. 

Análisis

CVE-2025-5394 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

Se debe a la falta de verificación de autorización en la función alone_import_pack_install_plugin(), permitiendo que un atacante no autenticado suba archivos arbitrarios (como plugins falsos en formato ZIP) y ejecute código remoto.

Versiones afectadas

Todas las versiones hasta la 7.8.3 inclusive.

Recomendaciones

• Actualizar a la versión 7.8.5
• Revisar los archivos de registro de cualquier solicitud que se origine en las siguientes direcciones IP:

  • 193.84.71.244
  • 87.120.92.24
  • 146.19.213.18
  • 2a0b:4141:820:752::2
  • 185.159.158.108
  • 188.215.235.94
  • 146.70.10.25
  • 74.118.126.111
  • 62.133.47.18
  • 198.145.157.102

Workarounds

No hay workarounds disponibles para esta vulnerabilidad.

Referencias

• https://www.wordfence.com/blog/2025/07/attackers-actively-exploiting-critical-vulnerability-in-alone-theme/
• https://ccb.belgium.be/advisories/warning-critical-vulnerability-alone-charity-multipurpose-non-profit-wordpress-theme
• https://thehackernews.com/2025/07/hackers-exploit-critical-wordpress.html

Vulnerabilidad crítica - 9 octubre

Introducción

CVE-2025-5947 es una vulnerabilidad que permite a un atacante no autenticado hacerse pasar por cualquier usuario del sitio, incluidos administradores, porque la rutina encargada de “volver” a la sesión original (service_finder_switch_back()) no valida correctamente el valor de la cookie que identifica al usuario original.

Análisis

CVE-2025-5947 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

CVE-2025-5947 permite una evasión de autenticación / escalamiento de privilegios, ya que el plugin no valida correctamente el valor de la cookie del usuario antes de usar la función service_finder_switch_back(). Esto posibilita que un atacante no autenticado se loguee como cualquier usuario, incluyendo administradores. Se han observado intentos de explotación activos contra instalaciones vulnerables. Proveedores de seguridad para WordPress han detectado y bloqueado miles de peticiones explotando este patrón, y varios informes de prensa técnica indican uso real en ataques dirigidos a sitios que no habían aplicado mitigación. Esto eleva el riesgo de compromisos masivos en sitios que mantengan el plugin sin parchear.

Versiones afectadas

Afecta al plugin Service Finder Bookings para WordPress (usado también dentro del tema Service Finder) en todas las versiones hasta la 6.0 inclusive.

Recomendaciones

• Actualizar inmediatamente el plugin/theme Service Finder Bookings a la versión 6.1 o superior, donde se incorpora la validación adecuada del parámetro usuario original
• Revisar los registros de acceso (logs) buscando peticiones HTTP que incluyan parámetros como / ?switch_back=1 y la cookie original_user_id, ya que esos patrones indican posibles explotaciones

Workarounds

No hay workarounds disponibles para esta vulnerabilidad.

Referencias

• https://thehackernews.com/2025/10/critical-exploit-lets-hackers-bypass.html
• https://www.wordfence.com/blog/2025/10/attackers-actively-exploiting-critical-vulnerability-in-service-finder-bookings-plugin/
• https://cyberpress.org/wordpress-plugin-vulnerability/