Plataforma
wordpress
Componente
woo-lucky-wheel
Corregido en
1.1.14
Se ha descubierto una vulnerabilidad de inyección de código PHP (RCE) en el plugin Lucky Wheel for WooCommerce para WordPress. Esta falla permite a atacantes autenticados, con privilegios de administrador o superiores, ejecutar código PHP arbitrario en el servidor. La vulnerabilidad afecta a las versiones desde 1.0.0 hasta la 1.1.13, y se ha solucionado en la versión 1.1.14. Se recomienda actualizar el plugin a la última versión disponible.
La inyección de código PHP es una vulnerabilidad crítica que permite a un atacante tomar el control completo del servidor web. En este caso, un atacante autenticado con acceso de administrador puede ejecutar comandos arbitrarios en el servidor donde se aloja el sitio WordPress. Esto podría resultar en la exfiltración de datos sensibles, la modificación del sitio web, la instalación de malware o incluso el uso del servidor para lanzar ataques a otros sistemas. En instalaciones de WordPress multisite, la capacidad de ejecutar código arbitrario otorga a los Administradores de Sitio privilegios que no deberían tener, ya que normalmente no deberían tener acceso a la edición de archivos de plugins o temas. La ejecución de código arbitrario podría comprometer la integridad y confidencialidad de toda la instalación WordPress.
La vulnerabilidad ha sido publicada el 30 de diciembre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la inyección de código PHP la convierte en un objetivo atractivo para los atacantes. La ausencia de un Proof of Concept (PoC) público no disminuye el riesgo, ya que la vulnerabilidad es relativamente fácil de explotar una vez que se tiene acceso autenticado con privilegios de administrador. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
WordPress websites utilizing the Lucky Wheel for WooCommerce plugin, particularly those with administrator accounts that have not been secured with strong passwords or multi-factor authentication, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'eval($_POST["conditional_tags"]' /var/www/wordpress/wp-content/plugins/lucky-wheel-for-woocommerce/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=lucky_wheel_conditional_tags&conditional_tags=system("whoami")• wordpress / composer / npm:
wp plugin list --status=active | grep lucky-wheel-for-woocommercedisclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Lucky Wheel for WooCommerce a la versión 1.1.14 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la configuración de 'Conditional Tags' a usuarios con privilegios limitados. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código PHP malicioso en los parámetros de entrada. Monitorear los logs del servidor en busca de patrones sospechosos, como la ejecución de comandos inusuales o la modificación de archivos críticos, también puede ayudar a detectar y prevenir ataques. No existe una solución de rollback, la actualización es la única opción viable.
Actualizar a la versión 1.1.14, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14509 is a vulnerability in the Lucky Wheel for WooCommerce plugin that allows authenticated administrators to execute arbitrary PHP code due to unsanitized user input.
You are affected if you are using Lucky Wheel for WooCommerce versions 1.0.0 through 1.1.13. Check your plugin versions immediately.
Upgrade the Lucky Wheel for WooCommerce plugin to version 1.1.14 or later. If immediate upgrade is not possible, restrict access to the 'Conditional Tags' setting.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation and plugin popularity suggest a potential for exploitation.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.