Plataforma
wordpress
Componente
bp-xprofile-custom-field-types
Corregido en
1.2.9
La vulnerabilidad CVE-2025-14997 afecta al plugin BuddyPress Xprofile Custom Field Types para WordPress. Esta falla de Acceso Arbitrario a Archivos se debe a una validación insuficiente de la ruta del archivo, permitiendo a atacantes autenticados borrar archivos críticos del servidor. Las versiones afectadas son desde la 1.0.0 hasta la 1.2.8, inclusive. Una actualización a la versión 1.3.0 soluciona esta vulnerabilidad.
Un atacante autenticado, con privilegios de Suscriptor o superiores, puede explotar esta vulnerabilidad para borrar archivos arbitrarios en el servidor. La consecuencia más grave es la posibilidad de ejecución remota de código (RCE) si se elimina un archivo crucial como wp-config.php. La eliminación de este archivo comprometería la configuración de WordPress, permitiendo al atacante tomar control total del sitio web. La vulnerabilidad se asemeja a otros casos de manipulación de rutas de archivos en plugins de WordPress, donde la falta de validación adecuada abre la puerta a la ejecución de código malicioso.
Esta vulnerabilidad fue publicada el 6 de enero de 2026. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La disponibilidad de un PoC público podría aumentar significativamente el riesgo de explotación. Se recomienda monitorear las fuentes de información de seguridad para detectar cualquier nueva información sobre esta vulnerabilidad.
WordPress websites utilizing the BuddyPress Xprofile Custom Field Types plugin in versions 1.0.0 through 1.2.8 are at risk. This includes sites with Subscriber-level user roles, as these users are sufficient to exploit the vulnerability. Shared hosting environments are particularly vulnerable, as they often have limited access controls and a higher density of WordPress installations.
• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'BuddyPress Xprofile Custom Field Types'• wordpress / composer / npm:
wp plugin list | grep 'BuddyPress Xprofile Custom Field Types' && wp plugin version 'BuddyPress Xprofile Custom Field Types'• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/buddybp-xprofile-custom-field-types/ -name 'delete_field.php'• wordpress / composer / npm:
wp plugin list | grep 'BuddyPress Xprofile Custom Field Types' && wp plugin path 'BuddyPress Xprofile Custom Field Types'disclosure
Estado del Exploit
EPSS
0.94% (76% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin BuddyPress Xprofile Custom Field Types a la versión 1.3.0 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la función 'delete_field' a usuarios con privilegios administrativos. Implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten manipular la ruta del archivo también puede ayudar. Monitorear los logs del servidor en busca de intentos de acceso o eliminación de archivos inusuales es crucial para detectar posibles ataques.
Actualizar a la versión 1.3.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14997 is a HIGH severity vulnerability in the BuddyPress Xprofile Custom Field Types plugin for WordPress, allowing authenticated users to delete arbitrary files, potentially leading to remote code execution.
You are affected if you are using BuddyPress Xprofile Custom Field Types versions 1.0.0 through 1.2.8. Upgrade to 1.3.0 or later to resolve the issue.
Upgrade the BuddyPress Xprofile Custom Field Types plugin to version 1.3.0 or later. If immediate upgrade is not possible, restrict file permissions and consider a WAF.
There is currently no evidence of active exploitation of CVE-2025-14997 in the wild.
Refer to the official BuddyPress Xprofile Custom Field Types plugin documentation and WordPress security advisories for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.