Se han identificado dos vulnerabilidades críticas en plugins populares de WordPress que podrían comprometer gravemente la seguridad de los sitios web que los utilicen. Estas fallas permiten, entre otras cosas, la inyección de comandos SQL sin autenticación y ejecución arbitraria de archivos en el servidor. Ambos vectores de ataque pueden ser explotados por actores maliciosos sin necesidad de autenticación previa.
- CVE-2025-22523 (CVSS: 9.3): El plugin Schedule presenta una vulnerabilidad crítica que permite a atacantes no autenticados realizar inyecciones SQL. La explotación exitosa podría otorgar acceso, manipulación o eliminación de información en la base de datos.
- CVE-2025-2294 (CVSS: 9.8): Se ha detectado una vulnerabilidad de tipo Local File Inclusion (LFI) en el plugin Kubio AI Page Builder. Esta vulnerabilidad permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor, lo que podría resultar en la ejecución de código PHP malicioso, evasión de controles de acceso y acceso a datos sensibles.
Productos y versiones afectadas:
| Producto | Versiones afectadas | Solución |
| Plugin Schedule | Versiones anteriores a 1.0.0 inclusive. | Actualmente no existe una solución oficial. Se recomienda eliminar inmediatamente el plugin. |
| Kubio AI Page Builder | Versiones anteriores a la 2.5.1 inclusive. | Actualizar a la versión 2.5.2 o superior. |
Recomendaciones:
- Mantener todos los plugins y temas de WordPress actualizados a sus últimas versiones estables.
- Implementar reglas de firewall que restrinjan el acceso no autorizado a los archivos sensibles del servidor.
- Supervisar el sitio web en busca de actividades sospechosas o accesos no autorizados.
- Realizar copias de seguridad regulares de la base de datos y del contenido del sitio.
Referencias: