Plataforma
wordpress
Componente
download-plugins-dashboard
Corregido en
1.9.7
La vulnerabilidad CVE-2025-14399 es una falla de Cross-Site Request Forgery (CSRF) que afecta al plugin 'Download Plugins and Themes in ZIP from Dashboard' para WordPress. Esta vulnerabilidad permite a atacantes no autenticados archivar todos los plugins y temas de un sitio web y colocarlos en el directorio wp-content/uploads/. Afecta a las versiones desde 1.0.0 hasta la 1.9.6, y se ha solucionado en la versión 1.9.7.
Un atacante puede explotar esta vulnerabilidad engañando a un administrador del sitio para que haga clic en un enlace malicioso. Al hacerlo, el atacante puede ejecutar acciones como archivar todos los plugins y temas del sitio web, colocándolos en el directorio wp-content/uploads/. Esto podría comprometer la integridad de los archivos del sitio, permitir la exfiltración de datos sensibles almacenados en los plugins y temas, o incluso servir como punto de partida para ataques más sofisticados. La capacidad de archivar y almacenar estos archivos en un directorio accesible podría facilitar la posterior manipulación o el robo de información confidencial.
Esta vulnerabilidad se publicó el 17 de diciembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace susceptible a ataques automatizados. La falta de validación de nonce facilita la explotación. Se recomienda monitorear los registros del servidor en busca de actividades sospechosas.
WordPress sites utilizing the Download Plugins and Themes in ZIP plugin, particularly those with shared hosting environments or lacking robust user access controls, are at increased risk. Sites where administrators frequently click on links from untrusted sources are also more vulnerable.
• wordpress / composer / npm:
grep -r 'download_plugin_bulk|download_theme_bulk' /var/www/html/wp-content/plugins/download-plugins-and-themes-in-zip/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'download-plugins-and-themes-in-zip'• wordpress / composer / npm:
wp plugin update --alldisclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin 'Download Plugins and Themes in ZIP from Dashboard' a la versión 1.9.7 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio antes de actualizar. Como medida temporal, se puede restringir el acceso al panel de administración del sitio web, limitando el número de usuarios con privilegios administrativos. Implementar una política de seguridad que eduque a los administradores sobre los riesgos de los ataques CSRF y la importancia de verificar los enlaces antes de hacer clic en ellos también es crucial.
Actualizar a la versión 1.9.7, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14399 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin 'Download Plugins and Themes in ZIP from Dashboard' para WordPress que permite a atacantes archivar plugins y temas.
Sí, si está utilizando el plugin 'Download Plugins and Themes in ZIP from Dashboard' en versiones 1.0.0 hasta 1.9.6, es vulnerable a esta falla.
Actualice el plugin a la versión 1.9.7 o superior para solucionar la vulnerabilidad. Realice una copia de seguridad antes de actualizar.
Aunque no se ha confirmado explotación activa, la naturaleza de CSRF la hace susceptible a ataques automatizados. Se recomienda monitorear.
Consulte el sitio web del plugin o el repositorio de WordPress para obtener la información más reciente sobre la vulnerabilidad y la actualización.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.