BM Content Builder es un plugin desarrollado por SeaTheme para WordPress, utilizado para la creación de contenido visual mediante una interfaz de arrastrar y soltar. Este plugin permite a los usuarios diseñar páginas web de manera personalizada. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código malicioso, poniendo en riesgo la integridad y seguridad del sitio.
- CVE-2025-1279 (CVSS 8.8): Se ha identificado una vulnerabilidad crítica en el plugin BM Content Builder que afecta a todas las versiones. La falla reside en la ausencia de una verificación adecuada de capacidades en la acción AJAX ux_cb_tools_import_item_ajax, Esto puede permitir cambiar el rol predeterminado de nuevos registros a administrador y habilitar el registro de usuarios, facilitando así la escalaciónde privilegios y el control total del sitio comprometido.
Productos y versiones afectadas:
- BM Content Builder versiones hasta la 3.16.2.1 inclusive.
Solución
- Actualizar a una versión posterior a la 3.16.2.1.
Recomendaciones:
- Actualizar el plugin BM Content Builder a la versión más reciente disponible que corrija esta vulnerabilidad.
- Revisar y ajustar los roles y permisos de los usuarios existentes para asegurar que no se hayan otorgado privilegios indebidos.
- Implementar medidas de seguridad adicionales, como plugins de seguridad que monitoreen y restrinjan cambios no autorizados en las opciones del sitio.
- Realizar auditorías de seguridad periódicas para detectar y mitigar posibles vulnerabilidades en el sitio web.
Referencias: