El plugin Age Gate es una herramienta ampliamente utilizada en WordPress para restringir el acceso a contenido según la edad del usuario, garantizando el cumplimiento de regulaciones relacionadas con contenido sensible. Recientemente, se ha identificado una vulnerabilidad crítica que afecta a este plugin, comprometiendo la seguridad de numerosos sitios web que lo implementan.
- CVE-2025-2505 (CVSS: 9.8): Esta vulnerabilidad, es una inclusión local de archivos PHP (Local File Inclusion – LFI) que afecta a todas las versiones del plugin Age Gate hasta la 3.5.3 inclusive. El fallo reside en el parámetro ‘lang’, que permite a atacantes no autenticados incluir y ejecutar archivos locales en el servidor. Esto puede resultar en la exposición de información sensible o en la ejecución de código malicioso en el servidor afectado.
Productos afectados:
- Plugin Age Gate versiones anteriores a la 3.5.3 inclusive.
Solución:
- Actualizar a la versión 3.5.4 o superior.
Recomendaciones:
- Actualizar el plugin Age Gate inmediatamente a la versión recomendada para corregir la vulnerabilidad identificada.
- Verificar regularmente la disponibilidad de actualizaciones para todos los plugins instalados en su sitio WordPress y aplicarlas oportunamente.
- Implementar medidas de seguridad adicionales, como la validación y saneamiento de todas las entradas de usuario, para prevenir vulnerabilidades similares.
- Configurar reglas en el servidor web o en un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas que intenten explotar vulnerabilidades de inclusión de archivos.
Referencias:
- https://securityonline.info/critical-wordpress-plugin-vulnerability-exposes-over-40000-websites-to-code-execution-attacks/
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/age-gate/age-gate-353-unauthenticated-local-php-file-inclusion-via-lang
- https://www.cve.org/CVERecord?id=CVE-2025-2505
- https://plugins.trac.wordpress.org/browser/age-gate/trunk/vendor/agegate/common/src/Settings.php#L27