Plataforma
wordpress
Componente
advanced-ads
Corregido en
2.0.13
La vulnerabilidad CVE-2025-10487 afecta al plugin Advanced Ads – Ad Manager & AdSense para WordPress. Esta vulnerabilidad permite la Ejecución Remota de Código (RCE) en todas las versiones hasta la 2.0.12. El problema reside en la falta de restricciones adecuadas en un endpoint AJAX, lo que permite a atacantes no autenticados ejecutar funciones arbitrarias. La actualización a la versión 2.0.13 soluciona esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad para ejecutar código malicioso en el servidor WordPress donde está instalado el plugin Advanced Ads. Esto podría resultar en la toma de control completa del sitio web, robo de datos confidenciales (como información de anuncios, datos de usuarios, o incluso credenciales de la base de datos), y la modificación del contenido del sitio. La capacidad de ejecutar funciones arbitrarias como gettheexcerpt abre la puerta a la exposición de información sensible. La falta de autenticación necesaria para acceder al endpoint AJAX agrava el riesgo, permitiendo a cualquier persona con acceso a la red explotar la vulnerabilidad.
Este CVE fue publicado el 2025-11-01. No se ha reportado su inclusión en el KEV de CISA. No se han identificado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para los atacantes. La falta de autenticación necesaria para la explotación aumenta la probabilidad de que sea explotada en el futuro.
Websites utilizing the Advanced Ads plugin, particularly those running older versions (0.0.0–2.0.12), are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites with sensitive data or those integrated with other critical systems are at higher risk of significant impact.
• wordpress / composer / npm:
grep -r 'select_one()' /var/www/html/wp-content/plugins/advanced-ads/• wordpress / composer / npm:
wp plugin list --status=all | grep advanced-ads• wordpress / composer / npm:
wp plugin update advanced-ads --all• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=advanced_ads_get_ad_datadisclosure
Estado del Exploit
EPSS
0.41% (61% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Advanced Ads – Ad Manager & AdSense a la versión 2.0.13 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear el acceso al endpoint vulnerable. También es posible restringir el acceso al endpoint mediante reglas de configuración del servidor, aunque esto requiere un conocimiento técnico más avanzado. Después de la actualización, confirme la mitigación revisando los logs del servidor en busca de intentos de acceso no autorizados al endpoint vulnerable.
Actualice el plugin Advanced Ads a la versión 2.0.13 o superior para mitigar la vulnerabilidad de ejecución de código limitada no autenticada. Esta actualización corrige la falta de restricciones adecuadas en el acceso a un endpoint AJAX, previniendo que atacantes puedan ejecutar funciones arbitrarias.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-10487 is a Remote Code Execution vulnerability in the Advanced Ads WordPress plugin, allowing attackers to execute arbitrary code. It affects versions 0.0.0–2.0.12 and is rated HIGH severity.
If you are using Advanced Ads plugin versions 0.0.0 through 2.0.12, you are vulnerable. Check your plugin version and upgrade immediately.
Upgrade the Advanced Ads plugin to version 2.0.13 or later. If immediate upgrade is not possible, restrict access to the vulnerable AJAX endpoint using a WAF or custom rules.
As of 2025-11-01, there is no confirmed active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the official Advanced Ads plugin website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.