Plataforma
wordpress
Componente
wp-freeio
Corregido en
1.2.22
El plugin WP Freeio para WordPress presenta una vulnerabilidad de Elevación de Privilegios en todas las versiones hasta la 1.2.21, inclusive. Esta falla se debe a que la función process_register() no restringe los roles de usuario que un usuario puede seleccionar durante el registro. Esto permite a atacantes no autenticados proporcionar el rol de 'administrador' durante el registro y obtener acceso de administrador al sitio.
La vulnerabilidad de elevación de privilegios en WP Freeio permite a un atacante no autenticado eludir los controles de acceso y registrarse como administrador del sitio WordPress. Esto otorga al atacante control total sobre el sitio, incluyendo la capacidad de modificar contenido, instalar plugins maliciosos, acceder a datos sensibles de usuarios y realizar cualquier otra acción que un administrador pueda realizar. El impacto es severo, ya que compromete la integridad y confidencialidad del sitio web y sus datos. La facilidad de explotación, al no requerir autenticación previa, aumenta significativamente el riesgo de ataque.
Esta vulnerabilidad ha sido publicada el 2025-10-11. No se ha reportado explotación activa a la fecha, pero la falta de autenticación requerida para la explotación la convierte en un objetivo atractivo para atacantes. Es probable que se desarrollen pruebas de concepto públicas en breve. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
Websites using the WP Freeio plugin, particularly those running older, unpatched versions (0.0.0–1.2.21), are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak password policies or those that haven't implemented multi-factor authentication are also at increased risk.
• wordpress / composer / npm:
grep -r 'process_register' /var/www/html/wp-content/plugins/wp-freeio/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-freeio• wordpress / composer / npm:
wp plugin auto-update --all• generic web:
Check WordPress logs (typically in /var/log/apache2/error.log or similar) for suspicious registration attempts with the 'administrator' role.
• generic web:
Monitor for unusual user registration activity in the WordPress admin panel.
disclosure
Estado del Exploit
EPSS
0.18% (40% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WP Freeio a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al formulario de registro para usuarios no autenticados. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes de registro con el rol 'administrator'. Monitorear los registros del sitio WordPress en busca de intentos de registro sospechosos también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme que el registro de usuarios con roles administrativos está correctamente restringido.
Actualice el plugin WP Freeio a una versión corregida. El desarrollador ha lanzado una actualización para solucionar esta vulnerabilidad. Consulte la página de detalles del CVE para obtener más información sobre la versión corregida.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-11533 is a critical vulnerability in the WP Freeio WordPress plugin allowing unauthenticated attackers to gain administrator access by exploiting a flaw in user registration.
If you are using WP Freeio version 0.0.0 through 1.2.21, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade the WP Freeio plugin to the latest available version as soon as a patch is released. Temporarily disable the plugin as a short-term workaround.
While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a medium probability of exploitation. Monitor security advisories.
Check the WP Freeio plugin's official website and WordPress plugin repository for updates and security advisories related to CVE-2025-11533.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.