XStore | Tema WooCommerce Multiusos <= 9.5.4 - Inclusión de Archivos Locales Autenticada (Suscriptor+)
Plataforma
wordpress
Componente
xstore
Corregido en
9.5.5
La vulnerabilidad CVE-2025-11746 es una falla de Inclusión de Archivos (LFI) presente en el tema XStore para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con privilegios de Suscriptor o superiores, incluir y ejecutar archivos PHP arbitrarios en el servidor. El impacto es significativo, ya que puede llevar a la ejecución de código malicioso, el robo de datos sensibles y la posible toma de control del sitio web. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 9.5.4, y se ha solucionado en la versión 9.5.5.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante que explote esta vulnerabilidad puede lograr la ejecución remota de código en el servidor web. Al incluir un archivo PHP malicioso, el atacante puede ejecutar comandos arbitrarios con los permisos del usuario bajo el cual se ejecuta WordPress. Esto podría resultar en la exfiltración de información confidencial, como credenciales de la base de datos, claves API, o datos de usuarios. Además, el atacante podría modificar archivos del sitio web, instalar malware, o incluso tomar el control completo del servidor. La vulnerabilidad se aprovecha a través de la función etajaxrequiredpluginspopup(), lo que indica que la inclusión de archivos se realiza a través de una solicitud AJAX, lo que podría dificultar su detección inicial.
Contexto de Explotación
Actualmente, no se han reportado casos de explotación activa de CVE-2025-11746. Sin embargo, la naturaleza de la vulnerabilidad (LFI con ejecución de código) la convierte en un objetivo atractivo para los atacantes. No se ha añadido a la lista KEV de CISA, pero la alta puntuación CVSS (8.8) indica un riesgo significativo. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La publicación del CVE se realizó el 15 de octubre de 2025.
Quién Está en Riesgotraduciendo…
Websites using the XStore WordPress theme, particularly those with file upload functionality enabled, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unaware of the outdated theme version or lack the ability to perform updates.
Pasos de Deteccióntraduciendo…
• wordpress / composer / npm:
grep -r 'et_ajax_required_plugins_popup()' /var/www/html/wp-content/themes/xstore/• wordpress / composer / npm:
wp plugin list | grep xstore• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fCronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.15% (36% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2025-11746 es actualizar el tema XStore a la versión 9.5.5 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización a la última versión no es inmediatamente posible, se recomienda restringir el acceso a los archivos PHP sensibles en el servidor. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten incluir archivos PHP fuera del directorio del tema también puede ayudar a mitigar el riesgo. Además, es crucial revisar los permisos de los archivos y directorios del tema para asegurar que solo el usuario de WordPress tenga acceso de escritura. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que la función etajaxrequiredpluginspopup() ya no sea vulnerable a la inclusión de archivos arbitrarios.
Cómo corregirlotraduciendo…
Actualice el tema XStore a la versión 9.5.5 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique la fuente de los archivos incluidos para evitar la ejecución de código malicioso. Implemente controles de acceso más estrictos para limitar el acceso a funciones sensibles.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2025-11746 — LFI in XStore WordPress Theme?
CVE-2025-11746 is a Local File Inclusion vulnerability in the XStore WordPress theme, allowing authenticated attackers to execute arbitrary PHP code.
Am I affected by CVE-2025-11746 in XStore WordPress Theme?
You are affected if you are using XStore WordPress theme versions 0.0.0 through 9.5.4.
How do I fix CVE-2025-11746 in XStore WordPress Theme?
Upgrade the XStore WordPress theme to version 9.5.5 or later. Consider WAF rules and file upload restrictions as temporary mitigations.
Is CVE-2025-11746 being actively exploited?
While no widespread exploitation has been confirmed, the vulnerability's nature suggests potential for exploitation, and monitoring is advised.
Where can I find the official XStore advisory for CVE-2025-11746?
Refer to the XStore theme developer's website or WordPress plugin repository for the official advisory and update information.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.