Plataforma
wordpress
Componente
yml-for-yandex-market
Corregido en
5.0.26
5.0.26
CVE-2025-14545 describe una vulnerabilidad de Ejecución Remota de Código (RCE) presente en el plugin YML para Yandex Market para WordPress. Esta falla permite a atacantes autenticados, con privilegios de Shop Manager o superiores, ejecutar código malicioso en el servidor afectado. La vulnerabilidad afecta a todas las versiones del plugin hasta la 5.0.26 (exclusiva), y se ha solucionado en la versión 5.0.26.
La ejecución remota de código es una vulnerabilidad crítica que permite a un atacante tomar el control total del servidor web. En este caso, un atacante con acceso de Shop Manager en una tienda WordPress que utiliza el plugin YML para Yandex Market podría ejecutar comandos arbitrarios en el servidor, comprometiendo la confidencialidad, integridad y disponibilidad de los datos. Esto podría incluir la exfiltración de información sensible, la modificación de la base de datos, la instalación de malware o el uso del servidor como punto de partida para ataques a otros sistemas en la red. La severidad de esta vulnerabilidad se agrava por la facilidad con la que un atacante puede obtener acceso de Shop Manager, especialmente si las contraseñas son débiles o si existen otras vulnerabilidades en el sitio web.
La vulnerabilidad CVE-2025-14545 fue publicada el 19 de marzo de 2026. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación. La probabilidad de explotación se considera media, dado que requiere autenticación (Shop Manager) pero el impacto es alto (RCE). Se desconoce si existen pruebas de concepto (PoC) públicas disponibles, pero la naturaleza de la vulnerabilidad sugiere que podrían desarrollarse rápidamente. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada con esta vulnerabilidad.
Websites using the YML for Yandex Market plugin, particularly those with multiple users and poorly configured user roles, are at risk. Shared hosting environments where plugin updates are not managed centrally are also at increased risk, as are sites with legacy WordPress installations that may be difficult to update quickly.
• wordpress / composer / npm:
grep -r 'shop_manager' /var/www/html/wp-content/plugins/yml-for-yandex-market/• wordpress / composer / npm:
wp plugin list --status=active | grep 'yml-for-yandex-market'• wordpress / composer / npm:
wp plugin update yml-for-yandex-market --version=5.0.26disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
Vector CVSS
La mitigación principal para CVE-2025-14545 es actualizar el plugin YML para Yandex Market a la versión 5.0.26 o superior. Si la actualización causa problemas de compatibilidad con otros plugins o temas, considere realizar una copia de seguridad completa del sitio web antes de actualizar y probar la actualización en un entorno de pruebas. Como medida temporal, se recomienda restringir el acceso a la función vulnerable o implementar reglas de firewall (WAF) para bloquear solicitudes maliciosas. Verifique que las contraseñas de los usuarios con privilegios de Shop Manager sean robustas y únicas. Después de la actualización, confirme la mitigación revisando los registros del servidor en busca de intentos de explotación y verificando que las funciones afectadas estén correctamente protegidas.
Update to version 5.0.26, or a newer patched version
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14545 is a Remote Code Execution vulnerability in the YML for Yandex Market WordPress plugin, allowing authenticated attackers to execute code on the server.
You are affected if you are using YML for Yandex Market version 5.0.26 or earlier. Upgrade to 5.0.26 to resolve the issue.
Upgrade the YML for Yandex Market plugin to version 5.0.26 or later through the WordPress plugin manager or via WP-CLI.
As of now, there are no confirmed reports of active exploitation, but the RCE nature warrants immediate patching.
Check the YML for Yandex Market plugin page on WordPress.org for updates and security advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.