Vulnerabilidades críticas en WordPress 2025
Vulnerabilidad - 29 de mayo
Introducción
La vulnerabilidad CVE-2025-47577 es una falla crítica que afecta al plugin TI WooCommerce Whishlist de WordPress y que permite la carga sin restricciones de archivos con tipos peligrosos, lo que podría permitir que un atacante subiese un archivo malicioso a la web.
Análisis
CVE-2025-47577 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10
CVE-2025-47577 afecta al plugin TI WooCommerce Wishlist para WordPress, ampliamente utilizado en tiendas en líneas que ofrecen la funcionalidad de listas de deseos. Esta vulnerabilidad no impone las restricciones adecuadas sobre los tipos de archivos que se pueden subir, lo que posibilita que un atacante cargue scripts maliciosos directamente en el servidor.
Versiones afectadas
- Todas las versiones de WordPress hasta la 2.9.2 inclusive
Recomendaciones
- Se recomienda a los desarrolladores de plugins que eliminen o eviten configurar 'test_type' => false al usar wp_handle_upload()
- Se insta a los usuarios a desactivar y eliminar el plugin de sus sitios
Workarounds
No hay workarounds disponibles para esta vulnerabilidad.
Referencias
- https://thehackernews.com/2025/05/over-100000-wordpress-sites-at-risk.html
- https://access.redhat.com/security/cve/cve-2025-47577
Vulnerabilidad - 1 de agosto
Introducción
CVE-2025-5394 es una vulnerabilidad crítica en el tema de WordPress Alone – Charity Multipurpose Non‑profit. Desde mediados de julio, se han bloqueado más de 120 000 intentos de ataque que intentaban subir plugins falsos como wp-classic-editor.zip o background-image-cropper.zip, conteniendo shells PHP o backdoors y luego crear cuentas administrativas o exfiltrar datos.
Análisis
CVE-2025-5394 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8
Se debe a la falta de verificación de autorización en la función alone_import_pack_install_plugin(), permitiendo que un atacante no autenticado suba archivos arbitrarios (como plugins falsos en formato ZIP) y ejecute código remoto.
Versiones afectadas
Todas las versiones hasta la 7.8.3 inclusive.
Recomendaciones
- Actualizar a la versión 7.8.5
- Revisar los archivos de registro de cualquier solicitud que se origine en las siguientes direcciones IP:
- 193.84.71.244
- 87.120.92.24
- 146.19.213.18
- 2a0b:4141:820:752::2
- 185.159.158.108
- 188.215.235.94
- 146.70.10.25
- 74.118.126.111
- 62.133.47.18
- 198.145.157.102
Workarounds
No hay workarounds disponibles para esta vulnerabilidad.
Referencias
- https://www.wordfence.com/blog/2025/07/attackers-actively-exploiting-critical-vulnerability-in-alone-theme/
- https://ccb.belgium.be/advisories/warning-critical-vulnerability-alone-charity-multipurpose-non-profit-wordpress-theme
- https://thehackernews.com/2025/07/hackers-exploit-critical-wordpress.html