Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Alertas

Vulnerabilidades críticas en WordPress 2025

29 May 2025

Vulnerabilidad - 29 de mayo

Introducción

La vulnerabilidad CVE-2025-47577 es una falla crítica que afecta al plugin TI WooCommerce Whishlist de WordPress y que permite la carga sin restricciones de archivos con tipos peligrosos, lo que podría permitir que un atacante subiese un archivo malicioso a la web.

Análisis

CVE-2025-47577 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10

CVE-2025-47577 afecta al plugin TI WooCommerce Wishlist para WordPress, ampliamente utilizado en tiendas en líneas que ofrecen la funcionalidad de listas de deseos. Esta vulnerabilidad no impone las restricciones adecuadas sobre los tipos de archivos que se pueden subir, lo que posibilita que un atacante cargue scripts maliciosos directamente en el servidor.

Versiones afectadas

  • Todas las versiones de WordPress hasta la 2.9.2 inclusive

Recomendaciones

  • Se recomienda a los desarrolladores de plugins que eliminen o eviten configurar 'test_type' => false al usar wp_handle_upload()

  • Se insta a los usuarios a desactivar y eliminar el plugin de sus sitios

Workarounds

No hay workarounds disponibles para esta vulnerabilidad. 

Referencias

Vulnerabilidad - 1 de agosto

Introducción

CVE-2025-5394 es una vulnerabilidad crítica en el tema de WordPress Alone – Charity Multipurpose Non‑profit. Desde mediados de julio, se han bloqueado más de 120 000 intentos de ataque que intentaban subir plugins falsos como wp-classic-editor.zip o background-image-cropper.zip, conteniendo shells PHP o backdoors y luego crear cuentas administrativas o exfiltrar datos. 

Análisis

CVE-2025-5394 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

Se debe a la falta de verificación de autorización en la función alone_import_pack_install_plugin(), permitiendo que un atacante no autenticado suba archivos arbitrarios (como plugins falsos en formato ZIP) y ejecute código remoto.

Versiones afectadas

Todas las versiones hasta la 7.8.3 inclusive.

Recomendaciones

  • Actualizar a la versión 7.8.5

  • Revisar los archivos de registro de cualquier solicitud que se origine en las siguientes direcciones IP:

    • 193.84.71.244

    • 87.120.92.24

    • 146.19.213.18

    • 2a0b:4141:820:752::2

    • 185.159.158.108

    • 188.215.235.94

    • 146.70.10.25

    • 74.118.126.111

    • 62.133.47.18

    • 198.145.157.102

Workarounds

No hay workarounds disponibles para esta vulnerabilidad.

Referencias

Vulnerabilidad crítica - 9 octubre

Introducción

CVE-2025-5947 es una vulnerabilidad que permite a un atacante no autenticado hacerse pasar por cualquier usuario del sitio, incluidos administradores, porque la rutina encargada de “volver” a la sesión original (service_finder_switch_back()) no valida correctamente el valor de la cookie que identifica al usuario original.

Análisis

CVE-2025-5947 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

CVE-2025-5947 permite una evasión de autenticación / escalamiento de privilegios, ya que el plugin no valida correctamente el valor de la cookie del usuario antes de usar la función service_finder_switch_back(). Esto posibilita que un atacante no autenticado se loguee como cualquier usuario, incluyendo administradores. Se han observado intentos de explotación activos contra instalaciones vulnerables. Proveedores de seguridad para WordPress han detectado y bloqueado miles de peticiones explotando este patrón, y varios informes de prensa técnica indican uso real en ataques dirigidos a sitios que no habían aplicado mitigación. Esto eleva el riesgo de compromisos masivos en sitios que mantengan el plugin sin parchear.

Versiones afectadas

Afecta al plugin Service Finder Bookings para WordPress (usado también dentro del tema Service Finder) en todas las versiones hasta la 6.0 inclusive.

Recomendaciones

  • Actualizar inmediatamente el plugin/theme Service Finder Bookings a la versión 6.1 o superior, donde se incorpora la validación adecuada del parámetro usuario original

  • Revisar los registros de acceso (logs) buscando peticiones HTTP que incluyan parámetros como / ?switch_back=1 y la cookie original_user_id, ya que esos patrones indican posibles explotaciones

Workarounds

No hay workarounds disponibles para esta vulnerabilidad.

Referencias

Vulnerabilidad - 04/12

Introducción

CVE-2025-8489 es una vulnerabilidad crítica detectada en el plugin King Addons for Elementor, un complemento de terceros para WordPress que amplía las funcionalidades del constructor visual Elementor. Se han detectado ataques activos explotando esta vulnerabilidad y se han bloqueado más de 48.800 intentos de explotación.

Análisis

CVE-2025-8489 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

CVE-2025-8489 permite a un atacante no autenticado registrarse como administrador en un sitio WordPress que use ese plugin vulnerable. La causa técnica es que la función que gestiona el registro (handle_register_ajax()) no verifica correctamente el rol que puede asignarse a un usuario. Un atacante simplemente incluye user_role=administrator en la petición. Con ese acceso de administrador, el atacante puede controlar por completo el sitio: instalar plugins maliciosos, modificar contenido, inyectar malware, redirigir tráfico, etc.

Versiones afectadas

Afecta a las versiones del plugin desde la 24.12.92 hasta la 51.1.14.

Recomendaciones

Actualizar a la versión 51.1.35 o superior, donde ya está corregida la vulnerabilidad.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

Artículos relacionados
Vulnerabilidades críticas en React Server Components 2025
Leer más →
Vulnerabilidades críticas en Picklescan 2025
Leer más →
Vulnerabilidades críticas en Triofox 2025
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día