Plataforma
wordpress
Componente
mementor-core
Corregido en
2.2.6
CVE-2025-11168 es una vulnerabilidad de elevación de privilegios que afecta al plugin Mementor Core para WordPress. Esta falla permite a atacantes autenticados, con privilegios de Suscriptor o superiores, acceder a cuentas de administrador a través de una función de cambio de usuario mal gestionada. La vulnerabilidad afecta a todas las versiones hasta la 2.2.5, y se recomienda actualizar a la versión 2.2.6 para solucionar el problema.
La explotación exitosa de esta vulnerabilidad permite a un atacante con acceso de Suscriptor o superior obtener privilegios de administrador dentro del sitio WordPress. Esto les otorga control total sobre el sitio, incluyendo la capacidad de modificar contenido, instalar plugins, cambiar la configuración, y potencialmente acceder a datos sensibles. El impacto es significativo, ya que un atacante puede comprometer la integridad y confidencialidad del sitio web y sus datos. La falta de una validación adecuada en la función de cambio de usuario facilita la escalada de privilegios, permitiendo a un usuario con acceso limitado obtener control administrativo.
La vulnerabilidad fue publicada el 11 de noviembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la disponibilidad de la vulnerabilidad y su relativa facilidad de explotación la convierten en un objetivo potencial. Se recomienda monitorear los sistemas WordPress para detectar cualquier actividad sospechosa. La vulnerabilidad no se encuentra en el KEV de CISA al momento de esta redacción.
WordPress sites utilizing the Mementor Core plugin, particularly those with Subscriber-level users who have access to administrative functions or are part of shared hosting environments, are at risk. Sites with legacy configurations or those that haven't implemented robust user access controls are especially vulnerable.
• wordpress / composer / npm:
grep -r 'switch_back_user' /var/www/html/wp-content/plugins/mementor-core/• wordpress / composer / npm:
wp plugin list --status=active | grep mementor-core• wordpress / composer / npm:
wp plugin update mementor-core --alldisclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-11168 es actualizar el plugin Mementor Core a la versión 2.2.6 o superior. Antes de actualizar, se recomienda realizar una copia de seguridad completa del sitio WordPress, incluyendo la base de datos y los archivos del plugin. Si la actualización causa problemas de compatibilidad, considere revertir a una versión anterior del plugin o del tema, o buscar una solución alternativa. No existen configuraciones específicas que puedan mitigar completamente esta vulnerabilidad sin actualizar el plugin.
Actualice el plugin Mementor Core a la versión 2.2.6 o superior para mitigar la vulnerabilidad de escalada de privilegios. Esta actualización corrige el manejo incorrecto de la función de cambio de usuario, previniendo que atacantes con privilegios de suscriptor puedan acceder a cuentas de administrador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-11168 es una vulnerabilidad de elevación de privilegios en el plugin Mementor Core para WordPress que permite a usuarios con acceso de Suscriptor escalar a privilegios de administrador.
Si está utilizando Mementor Core en su sitio WordPress en una versión anterior a 2.2.6, es vulnerable a esta vulnerabilidad.
Actualice el plugin Mementor Core a la versión 2.2.6 o superior. Realice una copia de seguridad antes de actualizar.
No se ha reportado explotación activa a la fecha, pero la vulnerabilidad es un objetivo potencial debido a su relativa facilidad de explotación.
Consulte el sitio web del desarrollador de Mementor Core o el repositorio del plugin en WordPress.org para obtener la información más reciente.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.