Plataforma
wordpress
Componente
post-slides
Corregido en
1.0.2
Se ha descubierto una vulnerabilidad de Inclusión de Archivos Locales (LFI) en el plugin Post Slides para WordPress. Esta falla permite a usuarios autenticados, con roles de contribuidor o superiores, incluir archivos arbitrarios en el servidor. La vulnerabilidad afecta a las versiones del plugin desde 0 hasta 1.0.1. Se recomienda actualizar el plugin a la última versión disponible o implementar medidas de mitigación para reducir el riesgo.
La vulnerabilidad de LFI en Post Slides permite a un atacante, con privilegios de usuario autenticado, leer archivos sensibles en el servidor web. Esto podría incluir archivos de configuración, contraseñas, código fuente u otros datos confidenciales. Un atacante podría, potencialmente, escalar esta vulnerabilidad para ejecutar código arbitrario en el servidor si logra incluir un archivo ejecutable o manipular la ejecución del servidor web. La severidad de esta vulnerabilidad es alta debido a la facilidad de explotación y el potencial impacto en la confidencialidad e integridad del sistema.
Esta vulnerabilidad ha sido publicada el 2026-02-07. No se han reportado campañas de explotación activas a la fecha. La vulnerabilidad se considera de alta probabilidad de explotación debido a su relativa simplicidad y la amplia base de usuarios de WordPress. Es importante monitorear la situación y aplicar las mitigaciones necesarias.
WordPress websites using the Post Slides plugin, particularly those with multiple users having contributor or higher roles, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable. Sites with outdated WordPress installations or weak security practices are at increased risk.
• wordpress / composer / npm:
grep -r "include(get_include_path()" /var/www/html/wp-content/plugins/post-slides/• wordpress / composer / npm:
wp plugin list --status=all | grep "post-slides"• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/post-slides/ | grep -i "include"disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
Vector CVSS
La mitigación principal es actualizar el plugin Post Slides a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda restringir el acceso a los archivos del plugin y revisar los permisos de los usuarios. Implementar un firewall de aplicaciones web (WAF) con reglas para bloquear intentos de inclusión de archivos no autorizados puede ayudar a mitigar el riesgo. También es crucial revisar los logs del servidor en busca de actividad sospechosa relacionada con la inclusión de archivos.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15491 is a Local File Inclusion vulnerability in the Post Slides WordPress plugin, allowing authenticated users to read arbitrary files on the server. It affects versions 0 through 1.0.1 and has a CVSS score of 7.5.
You are affected if your WordPress site uses the Post Slides plugin in versions 0–1.0.1 and you have users with contributor or higher roles.
Upgrade to the latest version of the Post Slides plugin as soon as a patch is released. Until then, restrict access to the plugin's shortcode functionality or implement server-side input validation.
No active exploitation has been confirmed at this time, but the ease of exploitation suggests a PoC may emerge.
Please refer to the Post Slides plugin developer's website or WordPress.org plugin repository for the official advisory.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.