Escanear gratis
CRITICALCVE-2025-48100CVSS 9.1

Plugin WordPress bidorbuy Store Integrator <= 2.12.0 - Vulnerabilidad de Ejecución Remota de Código (RCE)

Plataforma

wordpress

Componente

bidorbuystoreintegrator

Corregido en

2.12.1

AI Confidence: highNVDEPSS 0.1%Revisado: may 2026
Ver en NVD
Guardar

La vulnerabilidad CVE-2025-48100 es una falla de Inyección de Código (Code Injection) que permite la Ejecución Remota de Código (RCE) en el plugin bidorbuy Store Integrator para WordPress. Esta falla permite a un atacante incluir código de forma remota, comprometiendo potencialmente la seguridad del servidor. Afecta a las versiones desde 0.0.0 hasta la 2.12.0, siendo la versión 2.12.1 la que corrige esta vulnerabilidad.

WordPress

Detecta esta CVE en tu proyecto

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis

Impacto y Escenarios de Ataque

Un atacante puede explotar esta vulnerabilidad para ejecutar código malicioso en el servidor WordPress donde está instalado el plugin bidorbuy Store Integrator. Esto podría resultar en la toma de control completa del servidor, robo de datos sensibles, modificación de contenido del sitio web o incluso el uso del servidor para lanzar ataques a otros sistemas. La inclusión remota de código (RCE) es una de las vulnerabilidades más graves, ya que permite a un atacante ejecutar comandos arbitrarios con los privilegios del usuario bajo el cual se ejecuta el proceso del plugin. La falta de controles adecuados en la generación de código facilita la inyección de código malicioso, similar a vulnerabilidades observadas en otros plugins que no validan adecuadamente las entradas del usuario.

Contexto de Explotación

La vulnerabilidad CVE-2025-48100 fue publicada el 28 de agosto de 2025. No se ha confirmado la inclusión en el KEV de CISA, pero la severidad CRÍTICA indica una alta probabilidad de explotación. Se desconoce la existencia de pruebas de concepto (PoC) públicas activas, pero dada la naturaleza de la vulnerabilidad (RCE), es probable que se desarrollen en el futuro. Monitorear los foros de seguridad y las fuentes de inteligencia de amenazas es crucial para detectar posibles campañas de explotación.

Quién Está en Riesgotraduciendo…

WordPress websites utilizing the bidorbuy Store Integrator plugin, particularly those running older versions (0.0.0–2.12.0), are at significant risk. Shared hosting environments are especially vulnerable as they often lack granular control over plugin updates and security configurations. Sites relying on legacy WordPress installations or those with inadequate security practices are also at increased risk.

Pasos de Deteccióntraduciendo…

• wordpress / composer / npm:

grep -r "bidorbuy Store Integrator" /var/www/html/
wp plugin list | grep bidorbuy Store Integrator

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/bidorbuy-store-integrator/

• wordpress / composer / npm:

wp plugin update bidorbuy-store-integrator

Cronología del Ataque

  1. Disclosure

    disclosure

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

EPSS

0.05% (16% percentil)

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicototal

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredHighNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Alto — se requiere cuenta de administrador o privilegiada.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentebidorbuystoreintegrator
Proveedorextremeidea
Rango afectadoCorregido en
0 – 2.12.02.12.1

Información del paquete

Instalaciones activas
40
Valoración del plugin
5.0
Requiere WordPress
4.8+
Compatible hasta
5.6.17
Sitio web

Clasificación de Debilidad (CWE)

CWE-94

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado

Mitigación y Workarounds

La mitigación principal para CVE-2025-48100 es actualizar el plugin bidorbuy Store Integrator a la versión 2.12.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de proceder. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan patrones sospechosos de inclusión de código. Además, revise los permisos del usuario que ejecuta el plugin para asegurar que tenga el mínimo nivel de acceso necesario. Después de la actualización, verifique la integridad del plugin y del sitio web para confirmar que la vulnerabilidad ha sido resuelta.

Cómo corregirlo

Actualice el plugin bidorbuy Store Integrator a la última versión disponible para mitigar la vulnerabilidad de ejecución remota de código. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Considere deshabilitar o eliminar el plugin si no es esencial para su sitio web.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentestraduciendo…

What is CVE-2025-48100 — RCE in bidorbuy Store Integrator?

CVE-2025-48100 is a critical Remote Code Execution vulnerability in the bidorbuy Store Integrator WordPress plugin, allowing attackers to execute arbitrary code through Code Injection.

Am I affected by CVE-2025-48100 in bidorbuy Store Integrator?

You are affected if your WordPress site uses bidorbuy Store Integrator versions 0.0.0 through 2.12.0. Check your plugin versions immediately.

How do I fix CVE-2025-48100 in bidorbuy Store Integrator?

Upgrade the bidorbuy Store Integrator plugin to version 2.12.1 or later. If immediate upgrade is not possible, temporarily disable the plugin.

Is CVE-2025-48100 being actively exploited?

As of the publication date, there is no confirmed active exploitation, but the vulnerability's severity suggests exploitation is likely.

Where can I find the official bidorbuy Store Integrator advisory for CVE-2025-48100?

Refer to the extremeidea website and WordPress plugin repository for the latest advisory and updates regarding CVE-2025-48100.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs