Uncanny Automator es un plugin de WordPress diseñado para facilitar la automatización de tareas y la integración con diversos servicios. Recientemente, se ha identificado una vulnerabilidad crítica que podría comprometer la seguridad de los sitios web que utilizan este plugin.
- CVE-2025-2075 (CVSS 8.8): Esta vulnerabilidad se debe a la falta de comprobaciones adecuadas de capacidad en las funciones add_role() y user_role(), específicamente en la función validate_rest_call(). Esto permite que atacantes autenticados con permisos mínimos, como suscriptores, puedan escalar sus privilegios al nivel de administrador, otorgándoles control total sobre el sitio afectado, pudiendo modificar el contenido del sitio, subir temas maliciosos o redirigir a los usuarios a otros sitios web dañinos.
Productos y versiones afectadas:
- Uncanny Automator versiones hasta la 6.3.0.2 inclusive.
Solución:
- Actualizar a la versión 6.4.0 o posterior.
Recomendaciones:
- Actualizar inmediatamente el plugin Uncanny Automator a la versión 6.4.0 o superior para mitigar la vulnerabilidad.
- Revisar y auditar regularmente los permisos y roles de usuario en el sitio para asegurar que no haya cuentas con privilegios indebidos.
- Implementar medidas de seguridad adicionales, como autenticación de dos factores, para proteger las cuentas de usuario.
- Monitorear el sitio en busca de actividades sospechosas o no autorizadas que puedan indicar intentos de explotación de la vulnerabilidad.
Referencias:
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/uncanny-automator/uncanny-automator-6302-missing-authorization-to-authenticated-subscriber-privilege-escalation
- https://www.wordfence.com/blog/2025/04/50000-wordpress-sites-affected-by-privilege-escalation-vulnerability-in-uncanny-automator-wordpress-plugin/
- https://securityonline.info/50k-wordpress-sites-exposed-admin-takeover-via-uncanny-automator/
- https://www.cve.org/CVERecord?id=CVE-2025-2075
- https://www.tenable.com/cve/CVE-2025-2075