Plataforma
wordpress
Componente
wp-lucky-wheel
Corregido en
1.0.23
El plugin Lucky Wheel Giveaway para WordPress presenta una vulnerabilidad de Ejecución Remota de Código (RCE). Esta falla permite a atacantes autenticados, con acceso de administrador o superior, ejecutar código malicioso en el servidor. La vulnerabilidad afecta a las versiones desde 1.0.0 hasta la 1.0.22, y ha sido solucionada en la versión 1.0.23. Se recomienda actualizar el plugin inmediatamente para evitar posibles ataques.
Un atacante que explote esta vulnerabilidad podría obtener control total sobre el servidor WordPress. Esto implica la capacidad de modificar archivos, instalar malware, robar datos confidenciales (como credenciales de usuarios, información de clientes, o datos de la base de datos), y realizar otras acciones maliciosas. La ejecución de código arbitrario permite una escalada de privilegios significativa, convirtiendo al servidor en una plataforma para ataques posteriores. La vulnerabilidad se basa en el uso inseguro de la función eval() de PHP, que procesa datos proporcionados por el usuario sin la validación o sanitización adecuada, un patrón común en vulnerabilidades de RCE.
Esta vulnerabilidad ha sido publicada públicamente el 2026-02-11. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. La existencia de una función eval() sin validación adecuada sugiere un riesgo de explotación, especialmente si el plugin es ampliamente utilizado. Se recomienda monitorear activamente los sistemas WordPress para detectar posibles intentos de explotación.
WordPress websites utilizing the Lucky Wheel Giveaway plugin, particularly those with administrator accounts that have not been secured with strong passwords and multi-factor authentication, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / plugin:
wp plugin list | grep "Lucky Wheel Giveaway"• wordpress / plugin: Check plugin version.
wp plugin list --status=active --format=json | jq '.["Lucky Wheel Giveaway"].version' • wordpress / plugin: Examine plugin files for eval() usage without sanitization. Use grep -r eval . within the plugin directory.
• generic web: Monitor access logs for requests containing suspicious PHP code in the conditional_tags parameter. Look for patterns resembling code injection attempts.
disclosure
Estado del Exploit
EPSS
0.38% (59% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Lucky Wheel Giveaway a la versión 1.0.23 o superior, que corrige la vulnerabilidad. Si la actualización causa problemas de compatibilidad con otros plugins o el tema de WordPress, considere realizar una copia de seguridad completa del sitio antes de actualizar. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan la cadena conditional_tags en la URL, aunque esto puede afectar la funcionalidad del plugin. Revise los logs del servidor en busca de patrones sospechosos relacionados con la ejecución de código. Después de la actualización, confirme que la vulnerabilidad ha sido corregida intentando acceder a la URL vulnerable y verificando que la solicitud sea rechazada.
Actualizar a la versión 1.0.23, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14541 is a Remote Code Execution vulnerability in the Lucky Wheel Giveaway WordPress plugin, allowing attackers with admin access to execute code. It affects versions 1.0.0–1.0.22.
You are affected if you are using the Lucky Wheel Giveaway plugin in versions 1.0.0 through 1.0.22. Check your plugin versions immediately.
Upgrade the Lucky Wheel Giveaway plugin to version 1.0.23 or later. If immediate upgrade is not possible, disable the plugin temporarily.
There is currently no confirmed active exploitation, but the vulnerability is publicly known and could be targeted in the future.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.