Los siguientes plugins de WordPress han sido identificados con vulnerabilidades críticas que pueden comprometer la seguridad de los sitios web que los utilizan. Se recomienda a los administradores de WordPress evaluar el impacto de estas fallas y tomar medidas inmediatas para mitigar los riesgos.
- CVE-2025-0316 (CVSS: 9.8): El plugin Directorybox Manager para WordPress es vulnerable a una falla en el mecanismo de autenticación que permite eludir las restricciones de acceso en la función ‘wp_dp_enquiry_agent_ contact_formsubmit_callback’. Esto permite a atacantes no autenticados iniciar sesión como cualquier usuario existente en el sitio, incluidos administradores, si conocen el nombre de usuario. Esta vulnerabilidad representa un riesgo crítico, ya que puede resultar en la toma de control total del sitio, la modificación de contenido y la ejecución de código malicioso sin restricción.
- CVE-2025-25107 (CVSS: 9.6): Una vulnerabilidad de falsificación de solicitudes de sitio cruzado (CSRF). en el plugin OneStore Sites, permite que atacantes exploten la funcionalidad del sitio para ejecutar acciones maliciosas en nombre de usuarios autenticados sin su consentimiento. Esto puede llevar a la modificación de configuraciones críticas, la creación de cuentas maliciosas o la alteración de contenido del sitio web sin detección inmediata.
- CVE-2025-25106 (CVSS: 9.6): El plugin Starter Templates de FancyWP presenta una vulnerabilidad de falsificación de solicitudes de sitio cruzado (CSRF), lo que puede permitir que un atacante engañe a un usuario autenticado para que ejecute acciones no deseadas sin su conocimiento. Esta explotación podría facilitar la instalación de complementos maliciosos, la eliminación de contenido clave o la escalada de privilegios dentro del sitio comprometido.
- CVE-2025-25101 (CVSS: 9.6): Una vulnerabilidad de falsificación de solicitudes de sitio cruzado (CSRF), ha sido detectada en el plugin Munk Sites de MetricThemes, permitiendo que atacantes manipulen peticiones enviadas desde usuarios autenticados. Esto puede derivar en cambios arbitrarios en la configuración del sitio, la alteración de contenido y la potencial exposición de información sensible a actores malintencionados.
Productos y versiones afectadas:
Directorybox Manager plugin:
- Todas las versiones menores iguales a la 2.5.
OneStore Sites plugin:
- Todas las versiones menores iguales a la 0.1.1.
Starter Templates de FancyWP:
- Todas las versiones menores iguales a la 2.0.0.
Munk Sites plugin:
- Todas las versiones menores iguales a la 1.0.7.
Solución:
- Actualmente, no hay parches conocidos para estas vulnerabilidades. Se recomienda revisar en detalle cada caso específico y, dependiendo del riesgo para su organización, aplicar medidas de mitigación como la eliminación del software afectado y la búsqueda de alternativas seguras.
Recomendaciones:
- Revisar y evaluar el impacto de estas vulnerabilidades en su entorno de WordPress.
- Desinstalar los plugins afectados en caso de no existir una solución viable.
- Implementar medidas de seguridad adicionales para prevenir ataques de autenticación y CSRF.
Referencias: