Plataforma
wordpress
Componente
tenweb-speed-optimizer
Corregido en
2.32.8
La vulnerabilidad CVE-2025-13377 afecta al plugin 10Web Booster para WordPress, una herramienta de optimización de velocidad y caché. Esta falla permite a atacantes autenticados, incluso con privilegios de Suscriptor, borrar carpetas arbitrarias en el servidor, lo que puede resultar en la pérdida de datos o una denegación de servicio. La vulnerabilidad se encuentra presente en versiones desde 0.0.0 hasta la 2.32.7, y se ha solucionado en la versión 2.32.11.
El impacto de esta vulnerabilidad es significativo. Un atacante con acceso autenticado al sitio WordPress puede explotar esta falla para eliminar cualquier carpeta en el servidor al que tenga acceso el plugin 10Web Booster. Esto podría incluir la carpeta de instalación de WordPress, archivos de configuración sensibles, bases de datos o cualquier otro recurso almacenado en el servidor. La eliminación de estos archivos puede resultar en la pérdida de datos, la corrupción del sitio web y la imposibilidad de acceder a él, lo que se traduce en una denegación de servicio. La facilidad de explotación, requiriendo solo privilegios de Suscriptor, amplía el rango de atacantes potenciales. Aunque no se han reportado explotaciones activas, la simplicidad de la vulnerabilidad la convierte en un objetivo atractivo.
La vulnerabilidad fue publicada el 6 de diciembre de 2025. Actualmente, no se encuentra listada en el KEV de CISA, ni se ha reportado una puntuación EPSS. No se han identificado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad (borrado de carpetas arbitrarias) la hace susceptible a ser explotada. Se recomienda monitorear activamente los sistemas afectados en busca de signos de intrusión.
WordPress websites utilizing the 10Web Booster plugin, particularly those with a large number of users with Subscriber or higher roles, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server resources are also particularly vulnerable, as a compromise of one site could potentially impact others.
• wordpress: Use wp-cli to check the installed plugin version:
wp plugin list --status=active | grep 10Web Booster• wordpress: Examine WordPress plugin files for the getcachedirforpagefromurl() function and surrounding code for potential vulnerabilities.
• generic web: Monitor server access logs for unusual file deletion requests targeting cache directories.
• generic web: Check WordPress user roles and permissions to ensure the principle of least privilege is enforced.
disclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin 10Web Booster a la versión 2.32.11 o superior, que corrige la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda restringir el acceso a las funciones de administración del plugin solo a usuarios de confianza. Como mitigación temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten acceder a la función getcachedirforpagefromurl() con parámetros sospechosos. Además, se debe revisar y endurecer los permisos de los archivos y carpetas del plugin para limitar el daño potencial en caso de explotación. Después de la actualización, confirme la corrección verificando que no se puedan eliminar carpetas arbitrarias a través de la interfaz del plugin.
Actualizar a la versión 2.32.11, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13377 is a critical vulnerability in the 10Web Booster WordPress plugin allowing authenticated attackers to delete server folders, potentially causing data loss or a denial of service.
If you are using 10Web Booster version 0.0.0 through 2.32.7, you are affected by this vulnerability. Upgrade immediately.
Upgrade the 10Web Booster plugin to version 2.32.11 or later to resolve the vulnerability. Consider restricting file system permissions as a temporary workaround.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation suggests a high likelihood of future attempts.
Refer to the 10Web Booster website and WordPress plugin repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.