Plataforma
wordpress
Componente
code-snippets
Corregido en
4.0.0
La vulnerabilidad CVE-2025-13035 afecta al plugin Code Snippets para WordPress, permitiendo la inyección de código PHP. Esta falla se debe al uso inseguro de la función extract() en atributos de shortcode controlados por el atacante, lo que permite la ejecución de código arbitrario en el servidor. Las versiones afectadas son desde la 0.0.0 hasta la 3.9.1, siendo la versión 3.9.2 la que corrige esta vulnerabilidad.
Un atacante con privilegios de Contribuidor o superiores en un sitio WordPress puede explotar esta vulnerabilidad para ejecutar código PHP arbitrario en el servidor. Esto podría resultar en la toma de control completa del sitio web, robo de datos sensibles (como credenciales de usuarios, información de clientes o datos de bases de datos), modificación del contenido del sitio, o incluso el uso del servidor para lanzar ataques a otros sistemas. La inyección de código PHP es una vulnerabilidad crítica que puede tener consecuencias devastadoras para la seguridad de un sitio web y sus usuarios. La capacidad de ejecutar código arbitrario es comparable a una ejecución remota de código (RCE), permitiendo al atacante realizar cualquier acción que el usuario de WordPress con esos privilegios pueda hacer.
Esta vulnerabilidad ha sido publicada públicamente el 19 de noviembre de 2025. No se ha confirmado la explotación activa en la naturaleza, pero la facilidad de explotación y la disponibilidad de información sobre la vulnerabilidad sugieren un riesgo moderado. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. La vulnerabilidad se encuentra en el catálogo KEV de CISA, lo que indica una probabilidad de explotación considerada alta.
WordPress websites utilizing the Code Snippets plugin, particularly those with multiple users holding Contributor-level access or higher, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server resources are also vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'extract($_POST' /var/www/wordpress/wp-content/plugins/code-snippets/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'code-snippets'• wordpress / composer / npm:
wp plugin list | grep 'code-snippets' --status=active• generic web:
Check WordPress error logs for PHP errors related to file inclusion or shortcode evaluation.
• generic web:
Inspect the [code_snippet] shortcode usage on the website for any unusual or suspicious parameters.
disclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Code Snippets a la versión 3.9.2 o superior. Si la actualización no es posible de inmediato, se pueden implementar algunas mitigaciones temporales. Deshabilitar el shortcode [code_snippet] puede reducir la superficie de ataque. Además, se recomienda revisar cuidadosamente todos los shortcodes personalizados y asegurarse de que no utilicen funciones inseguras como extract() con datos no validados. Implementar un Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de código PHP también puede ayudar a mitigar el riesgo. Monitorear los logs del servidor en busca de patrones sospechosos relacionados con la ejecución de código PHP no autorizado es crucial.
Actualizar a la versión 3.9.2, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13035 is a vulnerability in the WordPress Code Snippets plugin allowing authenticated attackers to execute arbitrary PHP code via shortcode manipulation. It affects versions 0.0.0–3.9.1 and has a CVSS score of 8.0 (HIGH).
You are affected if your WordPress site uses the Code Snippets plugin and is running version 3.9.1 or earlier. Check your plugin versions immediately.
Upgrade the Code Snippets plugin to version 3.9.2 or later. If immediate upgrade is not possible, restrict access to the [code_snippet] shortcode for lower-level users.
While no active campaigns have been publicly confirmed, the vulnerability's ease of exploitation and plugin's popularity suggest a potential for exploitation. Monitor your systems closely.
Refer to the Code Snippets plugin's official website and WordPress.org plugin repository for the latest updates and security advisories regarding CVE-2025-13035.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.