Plataforma
wordpress
Componente
meta-box
Corregido en
5.11.2
La vulnerabilidad CVE-2025-14675 afecta al plugin Meta Box para WordPress, permitiendo el acceso arbitrario de archivos. Esta falla se debe a una validación insuficiente de la ruta del archivo en la función 'ajaxdeletefile'. Atacantes autenticados con privilegios de Contribuidor o superiores pueden explotar esta vulnerabilidad para borrar archivos críticos del servidor, como wp-config.php, lo que podría resultar en la ejecución remota de código. La vulnerabilidad afecta a versiones desde 0.0.0 hasta la 5.11.1, y se ha solucionado en la versión 5.11.2.
La explotación exitosa de CVE-2025-14675 permite a un atacante autenticado borrar archivos arbitrarios en el servidor donde está instalado el plugin Meta Box. El impacto más grave es la posibilidad de ejecución remota de código (RCE) si se borra un archivo de configuración crítico como wp-config.php, que contiene información sensible como las credenciales de la base de datos. La pérdida de estos archivos puede comprometer la integridad y confidencialidad de la aplicación WordPress y los datos asociados. Un atacante podría, por ejemplo, borrar archivos esenciales del sistema, deshabilitar la aplicación o insertar código malicioso para obtener control total sobre el servidor.
La vulnerabilidad CVE-2025-14675 fue publicada el 2026-03-07. No se ha reportado su inclusión en el KEV de CISA. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (acceso arbitrario de archivos) la convierte en un objetivo atractivo para los atacantes. La necesidad de privilegios de Contribuidor o superiores para la explotación podría limitar su alcance, pero no la elimina.
WordPress websites using the Meta Box plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'ajax_delete_file' /var/www/html/wp-content/plugins/meta-box/• wordpress / composer / npm:
wp plugin list --status=active | grep 'meta-box'• wordpress / composer / npm:
wp plugin update meta-box --all• generic web: Check WordPress plugin directory for updates and security advisories related to Meta Box.
disclosure
Estado del Exploit
EPSS
0.89% (75% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-14675 es actualizar el plugin Meta Box a la versión 5.11.2 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la función 'ajaxdeletefile' mediante reglas de firewall de aplicaciones web (WAF) o proxies inversos, bloqueando solicitudes no autorizadas. Además, se debe revisar y endurecer los permisos de los archivos y directorios del servidor para limitar el daño potencial en caso de explotación. Implementar un sistema de monitoreo de integridad de archivos (FIM) puede ayudar a detectar modificaciones no autorizadas.
Actualizar a la versión 5.11.2, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14675 is a vulnerability in the Meta Box WordPress plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution. It affects versions 0.0.0–5.11.1.
You are affected if your WordPress site uses the Meta Box plugin and is running version 0.0.0 through 5.11.1. Check your plugin versions immediately.
Upgrade the Meta Box plugin to version 5.11.2 or later to resolve the vulnerability. Consider temporary mitigations like WAF rules if immediate upgrade is not possible.
As of the publication date, there are no publicly known active exploits for CVE-2025-14675, but it's crucial to patch promptly to prevent future exploitation.
Refer to the Meta Box plugin website and WordPress security announcements for the official advisory and further details regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.