Plataforma
wordpress
Componente
acf-frontend-form-element
Corregido en
3.28.30
La vulnerabilidad CVE-2025-14736 es una escalada de privilegios presente en el plugin Frontend Admin de DynamiApps para WordPress. Esta falla permite a atacantes no autenticados registrarse como administradores, obteniendo control total sobre el sitio web. Afecta a todas las versiones desde 0.0.0 hasta la 3.28.29, siendo corregida en la versión 3.28.30. Se recomienda actualizar el plugin inmediatamente.
La explotación exitosa de esta vulnerabilidad permite a un atacante obtener acceso de administrador completo al sitio WordPress. Esto significa que pueden modificar cualquier contenido, instalar o desinstalar plugins, cambiar la configuración del sitio, crear o eliminar usuarios, e incluso robar datos sensibles almacenados en la base de datos. El impacto es severo, ya que compromete la integridad y confidencialidad de toda la aplicación. Un atacante podría, por ejemplo, inyectar código malicioso en el sitio, redirigir a los usuarios a sitios de phishing, o incluso utilizar el sitio como plataforma para lanzar ataques a otros sistemas.
La vulnerabilidad CVE-2025-14736 fue publicada el 9 de enero de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Se recomienda monitorear los sistemas afectados y aplicar la mitigación lo antes posible. La falta de un PoC público no implica que la vulnerabilidad no sea explotable, sino que podría estar siendo explotada de forma silenciosa.
WordPress sites utilizing the Frontend Admin plugin, particularly those with publicly accessible user registration forms and legacy configurations, are at significant risk. Shared hosting environments where multiple WordPress installations share resources are also vulnerable, as a compromise of one site could potentially impact others.
• wordpress: Use wp-cli to check the installed plugin version:
wp plugin list | grep Frontend Admin• wordpress: Examine the wp-config.php file for any unusual configurations related to user roles or registration.
• wordpress: Review WordPress access logs for suspicious user registration attempts with the role set to 'administrator'.
• generic web: Monitor access logs for requests to the user registration endpoint with manipulated Role parameters.
disclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Frontend Admin a la versión 3.28.30 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio antes de actualizar. Como medida temporal, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes a la ruta de registro de usuarios que contengan valores sospechosos en el campo 'Role'. Además, revise los permisos de usuario existentes para identificar y eliminar cuentas de administrador no autorizadas. Después de la actualización, confirme la corrección revisando los logs del servidor en busca de intentos de registro sospechosos.
Actualizar a la versión 3.28.30, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14736 is a critical vulnerability in the Frontend Admin WordPress plugin allowing unauthenticated attackers to gain administrator privileges.
If you are using Frontend Admin plugin versions 0.0.0 through 3.28.29, you are vulnerable to this privilege escalation attack.
Upgrade the Frontend Admin plugin to version 3.28.30 or later to resolve this vulnerability. Consider temporary mitigations if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's simplicity makes it a likely target for attackers.
Refer to the DynamiApps website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-14736.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.