Se ha identificado una vulnerabilidad crítica en el tema Newscrunch para WordPress, la cual permite que atacantes autenticados con nivel de acceso de Suscriptor o superior carguen archivos arbitrarios en el servidor, lo que podría derivar en la ejecución remota de código.
- CVE-2025-1307 (CVSS: 9.8): Esta vulnerabilidad se debe a la falta de verificación de autorización en la función newscrunch_install_and_activate_plugin(), facilitando la explotación por parte de atacantes autenticados.
Versiones afectadas:
- Todas las versiones menores iguales a la 1.8.4
Solución:
- Actualizar a la versión 1.8.4.1.
Recomendaciones:
- Actualizar el tema Newscrunch a la versión 1.8.4.1 para corregir la vulnerabilidad.
- Restringir los permisos de usuarios con nivel de Suscriptor y superiores para minimizar el riesgo de explotación.
- Monitorizar los servidores en busca de archivos sospechosos o intentos de ejecución remota de código.
Referencias: