Plataforma
wordpress
Componente
reviewx
Corregido en
2.2.13
La vulnerabilidad CVE-2025-10679 afecta al plugin ReviewX – Multi-Criteria Reviews for WooCommerce with Google Reviews & Schema para WordPress. Esta vulnerabilidad de Ejecución Remota de Código (RCE) se debe a una validación insuficiente de las entradas en la función bulkTenReviews, permitiendo a atacantes no autenticados llamar a métodos PHP arbitrarios. Las versiones afectadas son desde 0.0.0 hasta la 2.2.12, siendo la versión 2.3.0 la que corrige esta falla.
Un atacante no autenticado puede explotar esta vulnerabilidad para ejecutar código arbitrario en el servidor WordPress. Esto podría resultar en la toma de control completa del sitio web, la exfiltración de datos sensibles (como información de clientes, datos de productos y credenciales de administración), la modificación del contenido del sitio o incluso el uso del servidor como plataforma para lanzar ataques a otros sistemas. La falta de autenticación necesaria para la explotación amplía significativamente el radio de impacto, permitiendo a cualquier persona con acceso a Internet potencialmente comprometer el sitio.
Esta vulnerabilidad ha sido publicada el 2026-03-23. No se han reportado campañas de explotación activas conocidas al momento de la publicación. La severidad de la vulnerabilidad es alta debido a su potencial de RCE y la falta de autenticación requerida. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Websites utilizing the ReviewX plugin for WooCommerce, particularly those running older versions (0.0.0–2.2.12), are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress: Use wp-cli to check the installed plugin version:
wp plugin list | grep ReviewX• wordpress: Search plugin files for the bulkTenReviews function and any instances of user-controlled data being passed directly to a function call.
• generic web: Monitor access logs for requests to the bulkTenReviews endpoint with unusual parameters. Look for patterns indicative of attempted method calls.
disclosure
Estado del Exploit
EPSS
0.18% (40% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin ReviewX a la versión 2.3.0 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al archivo vulnerable a través de un firewall de aplicaciones web (WAF) o un proxy inverso. Además, monitorear los logs del servidor en busca de patrones sospechosos relacionados con la ejecución de código PHP no autorizado puede ayudar a detectar y responder a posibles ataques. Verifique después de la actualización que la función bulkTenReviews no permita la ejecución de código arbitrario.
Actualizar a la versión 2.3.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-10679 is a Remote Code Execution vulnerability in the ReviewX plugin for WordPress, allowing attackers to potentially execute arbitrary code due to insufficient input validation.
You are affected if you are using ReviewX plugin versions 0.0.0 through 2.2.12. Upgrade to 2.3.0 or later to resolve the vulnerability.
Upgrade the ReviewX plugin to version 2.3.0 or later. As a temporary workaround, restrict access to the bulkTenReviews endpoint or implement stricter input validation.
As of the current date, there is no confirmed active exploitation of CVE-2025-10679, but the potential for exploitation exists.
Refer to the official ReviewX plugin documentation and website for the latest security advisory regarding CVE-2025-10679.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.