Múltiples Vulnerabilidades en Plugins de WordPress
Resumen
El Equipo de Respuesta a Incidentes de Seguridad Informática de la Universidad Católica "Nuestra Señora de la Asunción" (CSIRT-UC) emite una alerta sobre la existencia de múltiples vulnerabilidades, algunas de severidad crítica, que afectan a diversos plugins de WordPress.
Estas fallas pueden ser explotadas por atacantes no autenticados o con privilegios bajos para:
- Eliminar archivos arbitrarios del servidor (Riesgo Crítico).
- Exfiltrar información sensible (listas de suscriptores).
- Inyectar código malicioso (XSS).
Se insta a todos los administradores de sitios web basados en WordPress que verifiquen y actualicen de inmediato los plugins afectados.
Vulnerabilidades Identificadas y su Impacto
La combinación de estas fallas representa un riesgo significativo para la integridad y confidencialidad de los sitios web que utilizan los siguientes plugins:
Vulnerabilidades CVE Recientes
| Identificador CVE | Puntuación CVSS v3.1 | Producto Afectado | Impacto Potencial |
|---|---|---|---|
| CVE-2025-10916 | 9.1 (CRÍTICA) (CISA-ADP) | Plugin FormGent (antes de v1.0.4) | Eliminación Arbitraria de Archivos. Atacantes no autenticados pueden eliminar cualquier archivo del servidor, causando pérdida de integridad y disponibilidad (DoS). |
| CVE-2025-10638 | 5.3 (MEDIA) (Tenable) | Plugin NS Maintenance Mode for WP (hasta v1.3.1) | Fuga de Información. Falta de autorización que permite a atacantes no autenticados descargar la lista completa de suscriptores (nombre y correo electrónico). |
| CVE-2025-10651 | 6.1 (MEDIA) (NIST) | Plugin Welcart e-Commerce (hasta v2.11.22) | Cross-Site Scripting Almacenado (XSS). Atacantes autenticados (con permisos de Editor o superior) pueden inyectar scripts maliciosos. |
| CVE-2025-5983 | Sin puntaje oficial | Plugin Meta Tag Manager (antes de v3.3) | Redirección Abierta (Open Redirect). Roles de usuario con permisos de Colaborador o superior pueden crear etiquetas http-equiv refresh maliciosas para redirigir a usuarios a sitios web de phishing. |
Productos Afectados
El CSIRT-UC recomienda las siguientes acciones urgentes para mitigar los riesgos:
Productos Afectados - Vulnerabilidades y Mitigación
| Producto Afectado | Versiones Vulnerables | Acción de Mitigación Recomendada |
|---|---|---|
| FormGent | Anteriores a 1.0.4 | Actualizar a la versión 1.0.4 o posterior. La falla crítica de eliminación de archivos debe ser prioridad absoluta. |
| NS Maintenance Mode for WP | Hasta 1.3.1 | Actualizar a la versión parcheada. Consultar el sitio web oficial del desarrollador para obtener la versión de seguridad más reciente. |
| Welcart e-Commerce | Hasta 2.11.22 | Actualizar a la versión 2.11.23 o posterior. |
| Meta Tag Manager | Anteriores a 3.3 | Actualizar a la versión 3.3 o posterior. |
Recomendación del CSIRT-UC
- Auditoría Inmediata: Verifique en su panel de administración de WordPress si tiene alguno de estos plugins instalado.
- Aplicar Parches: Actualice todos los plugins a la última versión disponible a través del dashboard de WordPress o el sitio web del fabricante.
- Reforzar Permisos: Revise los permisos de los usuarios con rol de Colaborador o Editor en el caso de los plugins Welcart e-Commerce y Meta Tag Manager.
Referencias Oficiales
- CVE-2025-10916 (FormGent): https://nvd.nist.gov/vuln/detail/CVE-2025-10916
- CVE-2025-10651 (Welcart): https://nvd.nist.gov/vuln/detail/CVE-2025-10651
- CVE-2025-5983 (Meta Tag Manager): https://nvd.nist.gov/vuln/detail/CVE-2025-5983
- CVE-2025-10638 (NS Maintenance Mode): https://nvd.nist.gov/vuln/detail/CVE-2025-10638
El CSIRT-UC insiste en la importancia de mantener la plataforma WordPress y todos sus componentes actualizados para garantizar la seguridad de la información.