Plataforma
wordpress
Componente
javo-core
Corregido en
3.0.1
La vulnerabilidad CVE-2025-0177 afecta al plugin Javo Core para WordPress, permitiendo a usuarios no autenticados escalar privilegios. Esta falla se debe a la capacidad de los usuarios al registrar nuevas cuentas para asignar su propio rol, lo que facilita la obtención de privilegios de administrador. La vulnerabilidad afecta a todas las versiones hasta la 3.0.0.080. Se recomienda actualizar el plugin a una versión corregida para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad creando una nueva cuenta de usuario y asignándose el rol de administrador. Esto le otorgaría control total sobre el sitio WordPress, incluyendo la capacidad de modificar contenido, instalar plugins, acceder a datos sensibles y comprometer la seguridad general de la aplicación. La falta de autenticación necesaria para asignar roles administrativos representa un riesgo significativo, especialmente en sitios con información confidencial o que procesan transacciones financieras. La explotación exitosa podría resultar en la pérdida de datos, interrupción del servicio y daño a la reputación.
Esta vulnerabilidad fue publicada el 8 de marzo de 2025. No se han reportado campañas de explotación activas a la fecha. La vulnerabilidad se considera de alta probabilidad de explotación debido a su simplicidad y el amplio uso de WordPress. Se recomienda monitorear los sistemas afectados para detectar cualquier actividad sospechosa.
WordPress websites using the Javo Core plugin, particularly those with default or weak security configurations, are at significant risk. Shared hosting environments where multiple websites share the same server infrastructure are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
wp plugin list | grep javo-core• wordpress / composer / npm:
wp plugin update javo-core --all• wordpress / composer / npm:
wp plugin status javo-core• wordpress / composer / npm:
wp user list --field=role• wordpress / composer / npm:
wp user search --role=administratordisclosure
Estado del Exploit
EPSS
0.73% (73% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Javo Core a una versión corregida que solucione la vulnerabilidad de escalada de privilegios. Si la actualización no es inmediatamente posible, se recomienda restringir la capacidad de los usuarios registrados para asignar su propio rol. Esto se puede lograr mediante modificaciones en el código del plugin o utilizando un plugin de seguridad que implemente controles de acceso más estrictos. Además, revise los permisos de usuario existentes para identificar y eliminar cualquier cuenta con privilegios administrativos innecesarios. Después de la actualización, confirme que los nuevos usuarios no pueden asignar roles administrativos.
Actualice el plugin Javo Core a una versión corregida. La vulnerabilidad permite a usuarios no autenticados asignar roles de administrador, por lo que es crucial aplicar la actualización para mitigar el riesgo de escalada de privilegios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0177 is a critical vulnerability in the Javo Core WordPress plugin that allows unauthenticated attackers to gain administrator privileges by creating new user accounts, granting them full control over the website.
If you are using Javo Core plugin versions 0 through 3.0.0.080, you are potentially affected by this vulnerability. Check your plugin version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of the Javo Core plugin. Until a patch is released, disable user registration or implement a WAF to block suspicious account creation attempts.
While active exploitation is not yet confirmed, the vulnerability's critical severity and ease of exploitation suggest it is likely to be targeted soon. Monitor security advisories and threat intelligence feeds.
Refer to the Javo Core plugin's official website or WordPress plugin repository for the latest security advisory and patch information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.