Se ha identificado una vulnerabilidad crítica en el plugin Logo Slider – Logo Showcase, Logo Carousel, Logo Gallery y Client Logo Presentation, la cual permite la ejecución de shortcodes arbitrarios por parte de usuarios no autenticados.
- CVE-2025-2262 (CVSS: 7.3): Esta vulnerabilidad en el plugin Logo Slider de WordPress se debe a la falta de validación y controles adecuados en la ejecución de shortcodes. La falla se debe a que el plugin permite la ejecución de shortcodes arbitrarios mediante la función do_shortcode sin verificar permisos o autenticación. Esto puede ser explotado por atacantes para inyectar contenido malicioso, modificar la apariencia del sitio, acceder a información sensible o ejecutar código que comprometa su integridad.
Productos afectados:
- Todas las versiones del plugin Logo Slider hasta la 3.7.3 inclusive.
Solución:
- Actualizar el plugin Logo Slider a la versión 3.7.4 o superior.
Recomendaciones:
- Actualizar todos los plugins de WordPress a sus versiones más recientes para garantizar la seguridad del sitio.
- Revisar y restringir los permisos de usuarios para evitar la ejecución no autorizada de shortcodes.
- Monitorear regularmente los registros de actividad del sitio para detectar posibles intentos de explotación.
Referencias: