Plataforma
wordpress
Componente
shoplentor
Corregido en
3.2.6
La vulnerabilidad CVE-2025-12493 afecta al plugin ShopLentor – WooCommerce Builder para WordPress, permitiendo una Inclusión de Archivos Locales (LFI). Esta falla permite a atacantes no autenticados incluir y ejecutar archivos PHP arbitrarios en el servidor, lo que puede resultar en la ejecución de código malicioso. Las versiones afectadas son desde la 0.0.0 hasta la 3.2.5. Se recomienda actualizar el plugin a la última versión disponible o aplicar medidas de mitigación.
La Inclusión de Archivos Locales (LFI) en ShopLentor representa un riesgo crítico para los sitios web de WordPress que utilizan este plugin. Un atacante puede explotar esta vulnerabilidad para incluir archivos PHP arbitrarios, lo que les permite ejecutar código malicioso en el servidor. Esto podría resultar en la toma de control completa del sitio web, la exfiltración de datos sensibles (como información de clientes, credenciales de bases de datos, o datos de comercio electrónico), la modificación del contenido del sitio, o incluso el uso del servidor para lanzar ataques a otros sistemas. La capacidad de ejecutar código PHP arbitrario significa que el atacante puede esencialmente hacer lo que quiera en el servidor, lo que convierte a esta vulnerabilidad en una amenaza de alto impacto. La falta de autenticación necesaria para explotar la vulnerabilidad agrava aún más el riesgo.
Actualmente no se dispone de información sobre una campaña de explotación activa para CVE-2025-12493. La vulnerabilidad ha sido publicada el 4 de noviembre de 2025, por lo que existe un riesgo potencial de explotación a medida que los atacantes descubran y desarrollen exploits. Es recomendable monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa. La severidad CRÍTICA de la CVSS indica una alta probabilidad de explotación si la vulnerabilidad no se mitiga rápidamente.
WordPress websites utilizing the ShopLentor plugin, particularly those with limited security configurations or shared hosting environments, are at significant risk. Sites with older, unpatched WordPress installations or those lacking robust input validation practices are especially vulnerable. Administrators who have not recently reviewed plugin security are also at increased risk.
• wordpress / composer / npm:
grep -r 'load_template' /var/www/html/wp-content/plugins/shop-lentor/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/shop-lentor/load_template?file=../../../../etc/passwd | grep 'Content-Type:'• wordpress / composer / npm:
wp plugin list | grep shop-lentordisclosure
Estado del Exploit
EPSS
0.37% (58% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-12493 es actualizar el plugin ShopLentor a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restringir el acceso a archivos sensibles en el servidor puede ayudar a limitar el daño potencial. Además, se puede considerar la implementación de un Web Application Firewall (WAF) que pueda detectar y bloquear intentos de inclusión de archivos maliciosos. Monitorear los logs del servidor en busca de patrones sospechosos, como intentos de acceder a archivos PHP no autorizados, también puede ayudar a detectar y responder a ataques. Una vez actualizada la versión, verificar que la función 'load_template' ya no sea vulnerable a la inclusión de archivos arbitrarios.
Actualice el plugin ShopLentor a la última versión disponible para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique las actualizaciones disponibles en el panel de administración de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como limitar los permisos de los archivos y directorios, para reducir el riesgo de explotación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-12493 is a critical Local File Inclusion vulnerability in the ShopLentor WordPress plugin, allowing attackers to execute arbitrary PHP code.
You are affected if you are using ShopLentor versions 0.0.0 through 3.2.5. Upgrade immediately when a patch is available.
Upgrade to a patched version of the ShopLentor plugin. Until a patch is released, implement temporary workarounds like restricting file uploads and using a WAF.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest it is likely to be targeted.
Check the official ShopLentor website and WordPress plugin repository for updates and security advisories related to CVE-2025-12493.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.