Plataforma
wordpress
Componente
xstore
Corregido en
9.5.5
La vulnerabilidad CVE-2025-11746 es una falla de Inclusión de Archivos (LFI) presente en el tema XStore para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con privilegios de Suscriptor o superiores, incluir y ejecutar archivos PHP arbitrarios en el servidor. El impacto es significativo, ya que puede llevar a la ejecución de código malicioso, el robo de datos sensibles y la posible toma de control del sitio web. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 9.5.4, y se ha solucionado en la versión 9.5.5.
Un atacante que explote esta vulnerabilidad puede lograr la ejecución remota de código en el servidor web. Al incluir un archivo PHP malicioso, el atacante puede ejecutar comandos arbitrarios con los permisos del usuario bajo el cual se ejecuta WordPress. Esto podría resultar en la exfiltración de información confidencial, como credenciales de la base de datos, claves API, o datos de usuarios. Además, el atacante podría modificar archivos del sitio web, instalar malware, o incluso tomar el control completo del servidor. La vulnerabilidad se aprovecha a través de la función etajaxrequiredpluginspopup(), lo que indica que la inclusión de archivos se realiza a través de una solicitud AJAX, lo que podría dificultar su detección inicial.
Actualmente, no se han reportado casos de explotación activa de CVE-2025-11746. Sin embargo, la naturaleza de la vulnerabilidad (LFI con ejecución de código) la convierte en un objetivo atractivo para los atacantes. No se ha añadido a la lista KEV de CISA, pero la alta puntuación CVSS (8.8) indica un riesgo significativo. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La publicación del CVE se realizó el 15 de octubre de 2025.
Websites using the XStore WordPress theme, particularly those with file upload functionality enabled, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unaware of the outdated theme version or lack the ability to perform updates.
• wordpress / composer / npm:
grep -r 'et_ajax_required_plugins_popup()' /var/www/html/wp-content/themes/xstore/• wordpress / composer / npm:
wp plugin list | grep xstore• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fdisclosure
Estado del Exploit
EPSS
0.15% (36% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-11746 es actualizar el tema XStore a la versión 9.5.5 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización a la última versión no es inmediatamente posible, se recomienda restringir el acceso a los archivos PHP sensibles en el servidor. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten incluir archivos PHP fuera del directorio del tema también puede ayudar a mitigar el riesgo. Además, es crucial revisar los permisos de los archivos y directorios del tema para asegurar que solo el usuario de WordPress tenga acceso de escritura. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que la función etajaxrequiredpluginspopup() ya no sea vulnerable a la inclusión de archivos arbitrarios.
Actualice el tema XStore a la versión 9.5.5 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique la fuente de los archivos incluidos para evitar la ejecución de código malicioso. Implemente controles de acceso más estrictos para limitar el acceso a funciones sensibles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-11746 is a Local File Inclusion vulnerability in the XStore WordPress theme, allowing authenticated attackers to execute arbitrary PHP code.
You are affected if you are using XStore WordPress theme versions 0.0.0 through 9.5.4.
Upgrade the XStore WordPress theme to version 9.5.5 or later. Consider WAF rules and file upload restrictions as temporary mitigations.
While no widespread exploitation has been confirmed, the vulnerability's nature suggests potential for exploitation, and monitoring is advised.
Refer to the XStore theme developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.