Plataforma
wordpress
Componente
clasifico-listing
Corregido en
2.1
La vulnerabilidad CVE-2025-12882 afecta al plugin Clasifico Listing para WordPress, específicamente en versiones desde 1.0.0 hasta la 2.0. Esta falla de elevación de privilegios permite a atacantes no autenticados obtener roles de administrador al registrar nuevas cuentas, comprometiendo la seguridad del sitio web. La solución recomendada es actualizar el plugin a la versión 2.1, donde se ha corregido la vulnerabilidad.
El impacto de esta vulnerabilidad es crítico, ya que permite a un atacante no autenticado obtener control administrativo completo sobre el sitio WordPress. Esto significa que el atacante puede modificar contenido, instalar malware, acceder a información confidencial de usuarios (como contraseñas, datos personales y detalles de pago si se utilizan plugins de comercio electrónico), y comprometer la integridad del sitio web. La capacidad de escalar privilegios de esta manera es comparable a la obtención de acceso root en un servidor, permitiendo un control total sobre el entorno. Un atacante podría, por ejemplo, inyectar código malicioso en el sitio, redirigir a los usuarios a sitios de phishing, o incluso utilizar el sitio comprometido como parte de una botnet.
La vulnerabilidad CVE-2025-12882 fue publicada el 19 de febrero de 2026. La severidad es crítica (CVSS 9.8). No se ha confirmado su explotación activa en campañas conocidas, pero la facilidad de explotación y el impacto potencial la convierten en un objetivo atractivo para atacantes. Se recomienda monitorear los registros del servidor y del plugin para detectar cualquier actividad sospechosa relacionada con el registro de usuarios. La vulnerabilidad no figura en KEV ni tiene una puntuación EPSS asignada al momento de esta redacción.
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Clasifico Listing a la versión 2.1 o superior, donde la vulnerabilidad ha sido resuelta. Si la actualización no es inmediatamente posible, se recomienda implementar medidas temporales. Una posible solución alternativa es restringir la capacidad de los usuarios registrados para seleccionar su propio rol. Esto puede lograrse mediante la modificación del código del plugin o utilizando un plugin de seguridad de WordPress que permita controlar los roles de usuario durante el registro. Además, se recomienda revisar los permisos de usuario existentes para identificar y eliminar cualquier cuenta con privilegios de administrador que no sean necesarios. Después de la actualización o implementación de la mitigación, verifique que el registro de nuevos usuarios no permita la selección del rol de administrador.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-12882 is a critical vulnerability in the Clasifico Listing WordPress plugin allowing unauthenticated attackers to gain administrator privileges during user registration by manipulating the 'listinguserrole' parameter. This grants them full control of the website.
You are affected if your WordPress site uses the Clasifico Listing plugin in versions 1.0.0 through 2.0. Check your plugin versions immediately and upgrade if necessary.
Upgrade the Clasifico Listing plugin to version 2.1 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting user role assignment during registration.
While there are no confirmed reports of active exploitation at this time, the high CVSS score and ease of exploitation suggest a medium to high probability of exploitation in the near future.
Refer to the Clasifico Listing plugin's official website or WordPress plugin repository for the latest security advisory and update information related to CVE-2025-12882.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.