1. Avisos de seguridad
  2. Vulnerabilidades en plugins de WordPress
Fecha de publicación: Mar, 25/03/2025 - 14:06

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

Se han identificado dos vulnerabilidades críticas en plugins de WordPress que podrían comprometer la seguridad de los sitios web y servidores afectados.

CVE-2025-26909 (CVSS: 9.6) - WP Ghost

WP Ghost, un popular plugin de seguridad con más de 200,000 instalaciones activas, presenta una vulnerabilidad crítica que permite a atacantes no autenticados ejecutar código malicioso de forma remota. Esta falla explota una combinación de inclusión local de archivos (LFI) y un manejo inseguro de archivos temporales .log, lo que permite a un atacante manipular entradas de usuario insuficientemente validadas en la URL para incluir archivos locales arbitrarios. Como consecuencia, se podría lograr la ejecución remota de código en el servidor, derivando en la toma total del sitio web y el compromiso del sistema.

CVE-2025-2262 (CVSS: 7.3) - Logo Slider

El plugin Logo Slider – Logo Showcase, Logo Carousel, Logo Gallery y Client Logo Presentation presenta una vulnerabilidad que permite a usuarios no autenticados ejecutar shortcodes arbitrarios debido a la falta de validación y controles adecuados en su implementación. El problema radica en que la función do_shortcode del plugin se ejecuta sin verificar permisos ni autenticación, lo que podría ser explotado por atacantes para:

  • Inyectar contenido malicioso.

  • Modificar la apariencia del sitio web.

  • Acceder a información sensible.

  • Ejecutar código que comprometa la integridad del sistema.

Recursos afectados

WP Ghost versiones anteriores a 5.4.02.

Logo Slider versiones anteriores a 3.7.3 inclusive.

    Solución

    Actualizar el plugin WP Ghost a la versión 5.4.02 o superior.

    Actualizar el plugin Logo Slider a la versión 3.7.4 o superior.

        Recomendaciones

        • Realizar copias de seguridad periódicas del sitio web y almacenar las copias en ubicaciones seguras para facilitar la recuperación en caso de un incidente de seguridad.

        • Verifique que su sitio no haya sido comprometido si ha estado ejecutando una versión vulnerable.

        • Considere implementar medidas de seguridad adicionales si administra sitios web críticos.

        • Se recomienda actualizar el plugin a la última versión disponible y aplicar medidas de seguridad adicionales para mitigar el riesgo.

        Referencias

        SECURITYONLINE

        BLEEPINGCOMPUTER

        NVD