Plataforma
wordpress
Componente
wp-foodbakery
Corregido en
4.7.1
La vulnerabilidad CVE-2025-0180 afecta al plugin WP Foodbakery para WordPress, permitiendo una escalada de privilegios. Un atacante no autenticado puede aprovechar esta falla para registrarse en el sitio como administrador, obteniendo control total sobre la instalación. Esta vulnerabilidad se encuentra presente en todas las versiones hasta la 4.7. Se recomienda actualizar el plugin a la última versión disponible o aplicar medidas de mitigación inmediatas.
El impacto de esta vulnerabilidad es severo, ya que permite a un atacante no autenticado obtener acceso de administrador a un sitio WordPress. Esto significa que el atacante puede modificar contenido, instalar malware, robar datos de usuarios, o incluso tomar control completo del servidor. La falta de restricciones en la actualización de metadatos de usuario durante el registro facilita la explotación. Un atacante podría, por ejemplo, modificar el rol del usuario durante el registro para obtener privilegios administrativos, sin necesidad de credenciales válidas. Esta vulnerabilidad es similar a otras fallas de escalada de privilegios que han afectado a plugins de WordPress en el pasado, donde la falta de validación de entrada permitía a los atacantes eludir los controles de acceso.
La vulnerabilidad CVE-2025-0180 fue publicada el 11 de febrero de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en la naturaleza, pero la alta puntuación CVSS (9.8) indica un alto riesgo. Es probable que se desarrollen pruebas de concepto públicas en breve. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Websites using the WP Foodbakery plugin, particularly those with open user registration enabled, are at significant risk. Shared hosting environments where plugin updates are not managed by the website owner are also especially vulnerable. Sites relying on WP Foodbakery for critical functionality or storing sensitive user data face the highest potential impact.
• wordpress / composer / npm:
grep -r 'update_user_meta' /var/www/html/wp-content/plugins/wp-foodbakery/• wordpress / composer / npm:
wp plugin list --status=all | grep wp-foodbakery• wordpress / composer / npm:
wp plugin update wp-foodbakery --alldisclosure
Estado del Exploit
EPSS
0.43% (62% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WP Foodbakery a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda limitar el acceso a la página de registro de usuarios y revisar cuidadosamente todos los nuevos registros en busca de actividad sospechosa. Implementar un sistema de autenticación de dos factores (2FA) para todos los usuarios con privilegios de administrador puede ayudar a reducir el riesgo. Además, se recomienda revisar los permisos de usuario y asegurarse de que solo los usuarios autorizados tengan acceso a funciones administrativas. Después de la actualización, confirme que el registro de nuevos usuarios requiere autenticación y que los roles de usuario se asignan correctamente.
Actualice el plugin WP Foodbakery a la última versión disponible para mitigar la vulnerabilidad de escalada de privilegios. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0180 is a critical vulnerability in the WP Foodbakery WordPress plugin allowing unauthenticated users to register as administrators. It impacts versions 0.0.0–4.7 due to improper user meta restrictions.
If you are using WP Foodbakery version 0.0.0 through 4.7, you are affected by this vulnerability. Check your plugin version immediately.
Upgrade the WP Foodbakery plugin to the latest available version. If upgrading is not possible, implement temporary workarounds like restricting user registration.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a potential target for attackers. Continuous monitoring is advised.
Refer to the WP Foodbakery plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.