Vulnerabilidades en plugins de WordPress permiten ejecución remota de código y CSRF

Se han identificado vulnerabilidades en los plugins Aiomatic – AI Content Writer, Editor, ChatBot & AI Toolkit y WPBookit para WordPress, las cuales pueden comprometer la seguridad de los sitios afectados. Estas brechas de seguridad podrían permitir la ejecución de código malicioso y facilitar ataques de Cross-Site Request Forgery (CSRF), exponiendo los sistemas a accesos no autorizados y posibles modificaciones indebidas.

  • CVE-2024-13882 (CVSS 8.8): Esta vulnerabilidad en el plugin Aiomatic para WordPress permite la carga de archivos no autorizados debido a la falta de validación en la función aiomatic_generate_featured_image. Esto podría ser explotado por atacantes autenticados con permisos de Colaborador o superiores para subir archivos maliciosos al servidor, comprometiendo la seguridad del sitio.
  • CVE-2025-26910 (CVSS 7.1): El plugin WPBookit es vulnerable a Cross-Site Request Forgery (CSRF), lo que podría permitir a un atacante engañar a usuarios con privilegios elevados para que ejecuten acciones no autorizadas en el sitio, comprometiendo su seguridad.

Productos, versiones afectadas y solución

CVEProducto AfectadoVersión AfectadaSolución
CVE-2024-13882Aiomatic – Automatic AI Content Writer & Editor, GPT-3 & GPT-4, ChatGPT ChatBot & AI Toolkit pluginVersiones anteriores a la 2.3.9Actualizar a la versión 2.3.9 o superior
CVE-2025-26910WPBookit pluginVersiones anteriores a la 1.0.2Actualizar a la versión 1.0.2 o superior

Recomendaciones:

  • Mantener los plugins Aiomatic y WPBookit actualizados a sus versiones más recientes.
  • Restringir los permisos de usuarios para evitar que atacantes con acceso limitado puedan explotar vulnerabilidades.
  • Habilitar medidas de seguridad adicionales, como firewalls y herramientas de detección de intrusos, para mitigar posibles ataques.

Referencias: