Plataforma
wordpress
Componente
wp-db-booster
Corregido en
1.0.2
La vulnerabilidad CVE-2025-14168 afecta al plugin WP DB Booster para WordPress, permitiendo ataques de Cross-Site Request Forgery (CSRF). Esta falla se debe a la falta de validación de nonce en la acción AJAX 'cleanup_all', lo que permite a atacantes no autenticados manipular la base de datos. Las versiones afectadas son 1.0.0 hasta 1.0.1. Se recomienda actualizar el plugin a la versión corregida para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para realizar acciones no autorizadas en un sitio WordPress sin necesidad de autenticación. Al engañar a un administrador del sitio para que realice una acción (por ejemplo, haciendo clic en un enlace malicioso), el atacante puede ejecutar solicitudes forjadas que eliminen datos críticos de la base de datos. Esto incluye borradores de publicaciones, revisiones, comentarios y metadatos, lo que puede resultar en la pérdida de contenido importante y la interrupción del funcionamiento del sitio web. La falta de validación de nonce facilita la ejecución de estas solicitudes, aumentando el riesgo de explotación.
La vulnerabilidad fue publicada el 20 de diciembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad CSRF la hace susceptible a ataques oportunistas. Se recomienda monitorear los sistemas WordPress en busca de actividad sospechosa. La vulnerabilidad no se encuentra en el KEV de CISA al momento de la redacción.
WordPress sites utilizing the WP DB Booster plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources could also be affected, as an attacker could potentially exploit the vulnerability on one site to impact others.
• wordpress / composer / npm:
grep -r 'cleanup_all' /var/www/html/wp-content/plugins/wp-db-booster/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'wp-db-booster'• wordpress / composer / npm:
curl -I 'https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=cleanup_all' | grep '200 OK'disclosure
Estado del Exploit
EPSS
0.02% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-14168 es actualizar el plugin WP DB Booster a la última versión disponible, que incluye la validación de nonce necesaria. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la administración del sitio web y monitorear la actividad sospechosa en la base de datos. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten manipular la acción 'cleanup_all'. Después de la actualización, confirme que la validación de nonce está funcionando correctamente mediante la simulación de una solicitud CSRF y verificando que sea rechazada.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14168 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WP DB Booster para WordPress, permitiendo a atacantes no autenticados eliminar datos de la base de datos.
Sí, si está utilizando WP DB Booster en las versiones 1.0.0 a 1.0.1, su sitio es vulnerable a esta vulnerabilidad.
La solución es actualizar el plugin WP DB Booster a la última versión disponible, que incluye la validación de nonce.
No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad CSRF la hace susceptible a ataques oportunistas.
Consulte el sitio web del desarrollador de WP DB Booster o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.