Prime Listing Manager <= 1.1 - Elevación de Privilegios No Autenticada
Plataforma
wordpress
Componente
prime-listing-manager
Corregido en
1.1.1
El plugin Prime Listing Manager para WordPress, en versiones hasta la 1.1, presenta una vulnerabilidad de elevación de privilegios. Esta falla permite a un atacante obtener acceso administrativo al sitio web sin necesidad de tener una cuenta, lo que resulta en la capacidad de ejecutar acciones no autorizadas. La vulnerabilidad se debe a una clave secreta codificada de forma rígida, facilitando la explotación. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación inmediatas.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
La gravedad de esta vulnerabilidad radica en la facilidad con la que un atacante puede comprometer un sitio web WordPress. Al explotar esta falla, un atacante puede obtener acceso completo al panel de administración, permitiéndole modificar contenido, instalar malware, robar datos sensibles de usuarios, o incluso tomar control total del servidor. La clave secreta codificada de forma rígida elimina la necesidad de autenticación, simplificando enormemente el proceso de ataque. Esto podría resultar en una pérdida significativa de datos, daño a la reputación y interrupción del servicio. La falta de autenticación necesaria para la explotación la convierte en una amenaza particularmente grave para sitios web con información confidencial o que procesan datos de clientes.
Contexto de Explotación
Esta vulnerabilidad ha sido publicada el 2026-02-12. No se han reportado campañas de explotación activas a la fecha, pero la simplicidad de la vulnerabilidad sugiere que podría ser explotada rápidamente. La presencia de una clave secreta codificada de forma rígida es un patrón común en vulnerabilidades de seguridad y podría ser objeto de escaneo automatizado. Se recomienda monitorear los sistemas en busca de actividad sospechosa.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.02% (6% percentil)
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal es actualizar el plugin Prime Listing Manager a la última versión disponible, que corrige la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la restricción del acceso al panel de administración a través de un firewall de aplicaciones web (WAF) o la implementación de reglas de proxy que bloqueen solicitudes sospechosas. Además, es crucial revisar los permisos de los usuarios y limitar el acceso a las funciones administrativas solo a aquellos que realmente lo necesitan. Verifique la integridad del plugin después de la actualización, confirmando que los archivos no han sido modificados.
Cómo corregirlo
No hay un parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2025-14892 — Privilege Escalation in Prime Listing Manager?
CVE-2025-14892 is a critical vulnerability in the Prime Listing Manager WordPress plugin that allows attackers to gain administrative access without authentication, enabling unauthorized actions.
Am I affected by CVE-2025-14892 in Prime Listing Manager?
If you are using the Prime Listing Manager WordPress plugin in versions 0–1.1, you are potentially affected by this vulnerability. Immediate action is required.
How do I fix CVE-2025-14892 in Prime Listing Manager?
Currently, there is no fixed version available. The recommended mitigation is to disable the plugin until a patch is released by the vendor. Monitor for updates.
Is CVE-2025-14892 being actively exploited?
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of exploitation attempts in the near future.
Where can I find the official Prime Listing Manager advisory for CVE-2025-14892?
Refer to the Prime Listing Manager plugin's official website or WordPress plugin repository for updates and advisories regarding CVE-2025-14892.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.