Meta Box <= 5.11.1 - Eliminación Arbitraria de Archivos Autenticada (Colaborador+)
Plataforma
wordpress
Componente
meta-box
Corregido en
5.11.2
La vulnerabilidad CVE-2025-14675 afecta al plugin Meta Box para WordPress, permitiendo el acceso arbitrario de archivos. Esta falla se debe a una validación insuficiente de la ruta del archivo en la función 'ajaxdeletefile'. Atacantes autenticados con privilegios de Contribuidor o superiores pueden explotar esta vulnerabilidad para borrar archivos críticos del servidor, como wp-config.php, lo que podría resultar en la ejecución remota de código. La vulnerabilidad afecta a versiones desde 0.0.0 hasta la 5.11.1, y se ha solucionado en la versión 5.11.2.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
La explotación exitosa de CVE-2025-14675 permite a un atacante autenticado borrar archivos arbitrarios en el servidor donde está instalado el plugin Meta Box. El impacto más grave es la posibilidad de ejecución remota de código (RCE) si se borra un archivo de configuración crítico como wp-config.php, que contiene información sensible como las credenciales de la base de datos. La pérdida de estos archivos puede comprometer la integridad y confidencialidad de la aplicación WordPress y los datos asociados. Un atacante podría, por ejemplo, borrar archivos esenciales del sistema, deshabilitar la aplicación o insertar código malicioso para obtener control total sobre el servidor.
Contexto de Explotación
La vulnerabilidad CVE-2025-14675 fue publicada el 2026-03-07. No se ha reportado su inclusión en el KEV de CISA. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (acceso arbitrario de archivos) la convierte en un objetivo atractivo para los atacantes. La necesidad de privilegios de Contribuidor o superiores para la explotación podría limitar su alcance, pero no la elimina.
Quién Está en Riesgotraduciendo…
WordPress websites using the Meta Box plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
Pasos de Deteccióntraduciendo…
• wordpress / composer / npm:
grep -r 'ajax_delete_file' /var/www/html/wp-content/plugins/meta-box/• wordpress / composer / npm:
wp plugin list --status=active | grep 'meta-box'• wordpress / composer / npm:
wp plugin update meta-box --all• generic web: Check WordPress plugin directory for updates and security advisories related to Meta Box.
Cronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.89% (75% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Alto — se requiere cuenta de administrador o privilegiada.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Información del paquete
- Instalaciones activas
- 500KPopular
- Valoración del plugin
- 4.8
- Requiere WordPress
- 6.5+
- Compatible hasta
- 6.9.4
- Requiere PHP
- 7.4+
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2025-14675 es actualizar el plugin Meta Box a la versión 5.11.2 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la función 'ajaxdeletefile' mediante reglas de firewall de aplicaciones web (WAF) o proxies inversos, bloqueando solicitudes no autorizadas. Además, se debe revisar y endurecer los permisos de los archivos y directorios del servidor para limitar el daño potencial en caso de explotación. Implementar un sistema de monitoreo de integridad de archivos (FIM) puede ayudar a detectar modificaciones no autorizadas.
Cómo corregirlo
Actualizar a la versión 5.11.2, o una versión parcheada más reciente
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2025-14675 — Arbitrary File Access in Meta Box?
CVE-2025-14675 is a vulnerability in the Meta Box WordPress plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution. It affects versions 0.0.0–5.11.1.
Am I affected by CVE-2025-14675 in Meta Box?
You are affected if your WordPress site uses the Meta Box plugin and is running version 0.0.0 through 5.11.1. Check your plugin versions immediately.
How do I fix CVE-2025-14675 in Meta Box?
Upgrade the Meta Box plugin to version 5.11.2 or later to resolve the vulnerability. Consider temporary mitigations like WAF rules if immediate upgrade is not possible.
Is CVE-2025-14675 being actively exploited?
As of the publication date, there are no publicly known active exploits for CVE-2025-14675, but it's crucial to patch promptly to prevent future exploitation.
Where can I find the official Meta Box advisory for CVE-2025-14675?
Refer to the Meta Box plugin website and WordPress security announcements for the official advisory and further details regarding this vulnerability.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.