Plataforma
wordpress
Componente
wpcom-member
Corregido en
1.7.6
La vulnerabilidad CVE-2025-1475 es un bypass de autenticación crítico que afecta al plugin WPCOM Member para WordPress. Esta falla permite a atacantes no autenticados obtener acceso no autorizado a cuentas de usuario, incluyendo cuentas de administrador, si la autenticación por SMS está habilitada. Las versiones afectadas son desde 0.0.0 hasta la 1.7.5. Se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad puede obtener acceso completo a la cuenta de cualquier usuario en el sitio WordPress, incluyendo el administrador. Esto permite al atacante realizar acciones maliciosas en nombre del usuario comprometido, como modificar contenido, instalar plugins maliciosos, robar datos confidenciales o incluso tomar control total del sitio web. La falta de verificación adecuada del parámetro 'user_phone' facilita este ataque, permitiendo a un atacante eludir el proceso de autenticación normal. La gravedad de esta vulnerabilidad radica en su potencial para causar daños significativos a la integridad y confidencialidad de los datos del sitio web y sus usuarios.
Esta vulnerabilidad fue publicada el 7 de marzo de 2025. No se ha reportado explotación activa en campañas conocidas, pero la disponibilidad de la vulnerabilidad y su gravedad la convierten en un objetivo potencial. Se recomienda monitorear activamente los sistemas WordPress para detectar cualquier actividad sospechosa. La vulnerabilidad ha sido agregada al catálogo KEV de CISA, lo que indica una alta probabilidad de explotación.
WordPress sites utilizing the WPCOM Member plugin, particularly those with SMS login enabled, are at significant risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable if they haven't applied the patch. Sites with legacy WordPress configurations or those lacking robust security monitoring are especially susceptible.
• wordpress / composer / npm:
grep -r 'user_phone' /var/www/html/wp-content/plugins/wpcom-member/• wordpress / composer / npm:
wp plugin list --status=all | grep wpcom-member• wordpress / composer / npm:
wp plugin update wpcom-member --alldisclosure
Estado del Exploit
EPSS
0.71% (72% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1475 es actualizar el plugin WPCOM Member a la última versión disponible, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, deshabilitar temporalmente la autenticación por SMS puede reducir el riesgo. Además, se recomienda revisar los registros del sitio web en busca de actividades sospechosas y fortalecer las contraseñas de los usuarios. Después de la actualización, confirme que la autenticación por SMS funciona correctamente y que el parámetro 'user_phone' está siendo validado adecuadamente.
Actualice el plugin WPCOM Member a la última versión disponible para corregir la vulnerabilidad de bypass de autenticación. Asegúrese de que el inicio de sesión por SMS esté configurado correctamente y que se apliquen medidas de seguridad adicionales para proteger las cuentas de usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1475 is a critical vulnerability in the WPCOM Member WordPress plugin allowing attackers to bypass authentication and log in as any user, including administrators, if SMS login is enabled.
If you are using the WPCOM Member plugin for WordPress in versions 0.0.0 through 1.7.5 and have SMS login enabled, you are likely affected by this vulnerability.
Upgrade the WPCOM Member plugin to a patched version. If upgrading is not immediately possible, disable SMS login as a temporary workaround.
While active exploitation is not yet confirmed, the CRITICAL severity and public disclosure suggest a high probability of exploitation. Monitor for suspicious activity.
Refer to the official WPCOM security advisory for details and updates regarding this vulnerability. Check the Automattic security blog for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.