En los últimos días, se han identificado varias vulnerabilidades críticas en plugins populares de WordPress que permiten la carga de archivos arbitrarios y la ejecución remota de código. Estas vulnerabilidades afectan a diversas versiones de plugins utilizados para integrar herramientas en los sitios de WordPress.
- CVE-2025-23922 (CVSS: 10): La vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin iSpring Embedder permite que un atacante suba un shell web al servidor web de la víctima, comprometiendo así el sitio web.
- CVE-2025-23953 (CVSS: 10): Una vulnerabilidad en el plugin User Files permite la carga de archivos peligrosos sin restricciones, lo que facilita la carga de un shell web en el servidor afectado.
- CVE-2025-23918 (CVSS: 9.9): En el plugin Smallerik File Browser, se ha identificado una vulnerabilidad que permite la carga de archivos peligrosos sin restricción, lo que podría permitir la carga de un shell web.
- CVE-2025-23914 (CVSS: 9.8): El plugin Muzaara Google Ads Report presenta una vulnerabilidad de deserialización de datos no confiables, lo que permite la inyección de objetos maliciosos.
- CVE-2025-23932 (CVSS: 9.8): El plugin Quick Count también presenta una vulnerabilidad de deserialización de datos no confiables, permitiendo la inyección de objetos maliciosos.
- CVE-2025-23931 (CVSS: 9.3): En el plugin WordPress Local SEO, se ha encontrado una vulnerabilidad de inyección SQL, específicamente una inyección SQL no visible.
- CVE-2025-24650 (CVSS: 9.1): El plugin Tourfic presenta una vulnerabilidad que permite la carga de archivos peligrosos, lo que podría llevar a un ataque de carga de shell web.
- CVE-2025-23942 (CVSS: 9.1): El plugin WP Load Gallery también tiene una vulnerabilidad de carga de archivos peligrosos sin restricciones.
- CVE-2025-23921 (CVSS: 9): Una vulnerabilidad similar en el plugin Multi Uploader for Gravity Forms permite la carga de archivos peligrosos, facilitando la carga de un shell web en el servidor.
Productos, versiones afectadas y solución:
| CVE(s) | Producto afectado | Versiones Afectadas | Solución |
| CVE-2025-23922 | iSpring Embedder plugin. | Todas las versiones menores iguales a la 1.0. | Actualizar a la última versión disponible. |
| CVE-2025-23953 | User files plugin. | Todas las versiones menores iguales a la 2.4.2. | Actualizar a la última versión disponible. |
| CVE-2025-23918 | Smallerik file browser plugin. | Todas las versiones menores iguales a la 1.1. | |
| CVE-2025-23914 | Muzaara Google Ads report plugin. | Todas las versiones menores iguales a la 3.1. | |
| CVE-2025-23932 | Quick Count plugin. | Todas las versiones menores iguales a la 3.00. | |
| CVE-2025-23931 | Local SEO plugin. | Todas las versiones menores iguales a la 2.3. | |
| CVE-2025-24650 | Tourfic plugin. | Todas las versiones menores iguales a la 2.15.3. | Actualizar a la versión 2.15.4 o posterior. |
| CVE-2025-23942 | Load Gallery plugin. | Todas las versiones menores iguales a la 2.1.6. | Actualizar a la última versión disponible. |
| CVE-2025-23921 | Multi uploader for gravity forms plugin. | Todas las versiones menores iguales a la 1.1.3. |
Recomendaciones:
- Actualizar los plugins afectados a sus versiones más recientes.
- Implementar parches virtuales de seguridad para bloquear los ataques en caso de no contar con una solución oficial.
- Monitorear el sitio web regularmente en busca de actividad sospechosa o intentos de explotación de estas vulnerabilidades.
Referencias: