El plugin Service Finder Bookings, utilizado comúnmente en sitios WordPress para gestionar listados de servicios y perfiles de usuarios, ha sido identificado con una vulnerabilidad crítica que permite eludir la autenticación y acceder como cualquier usuario, incluyendo administradores. Esta falla reside en la función de «switch back», que fue implementada sin controles de validación adecuados.
A continuación, se detalla la vulnerabilidad que está siendo aprovechada por los atacantes:
CVE‑2025‑5947 (CVSS 9.8): Esta vulnerabilidad crítica permite a atacantes no autenticados explotar una función mal implementada dentro del plugin para iniciar sesión como cualquier usuario del sitio, sin requerir credenciales válidas. El fallo se debe a la falta de verificación del valor de la cookie utilizada en la función service_finder_switch_back().
El impacto potencial incluye la toma de control completa del sitio, modificación de contenido, instalación de plugins maliciosos, creación de cuentas privilegiadas y exfiltración de información.
Versiones afectadas
- Plugin Service Finder Bookings para WordPress, versiones hasta la 6.0 incluida.
Solución
- Actualizar a versión 6.1 o superior.
Recomendaciones:
- Verificar todas las instalaciones de WordPress que utilicen el plugin Service Finder Bookings y confirmar que estén en versión segura.
- Actualizar inmediatamente a la versión 6.1 o superior del plugin para mitigar la vulnerabilidad.
- Revisar logs de acceso del servidor buscando el uso del parámetro switch_back o accesos sospechosos de cuentas administrativas.
- Aplicar reglas de firewall o WAF que bloqueen solicitudes sospechosas mientras se realiza la actualización.
Referencias:
- https://cybersecuritynews.com/wordpress-plugin-vulnerability-4/
- https://thehackernews.com/2025/10/critical-exploit-lets-hackers-bypass.html
- https://securityaffairs.com/183162/hacking/cve-2025-5947-wordpress-plugin-flaw-lets-hackers-access-admin-accounts.html
- https://nvd.nist.gov/vuln/detail/CVE-2025-5947