Plataforma
wordpress
Componente
woocommerce-products-filter
Corregido en
1.3.7
La vulnerabilidad CVE-2025-1661 es una falla de Inclusión de Archivos (LFI) presente en el plugin HUSKY – Products Filter Professional for WooCommerce para WordPress. Esta falla permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor, comprometiendo la seguridad del sitio web. Afecta a todas las versiones del plugin desde 0.0.0 hasta la 1.3.6.5. Se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
La Inclusión de Archivos (LFI) en HUSKY – Products Filter Professional for WooCommerce representa un riesgo significativo para la seguridad de los sitios WordPress. Un atacante puede explotar esta vulnerabilidad para ejecutar código PHP arbitrario en el servidor, lo que le permite obtener control total sobre el sitio web. Esto podría incluir la modificación de archivos, la inserción de puertas traseras, el robo de datos sensibles (como información de clientes o credenciales de administración) y la ejecución de comandos del sistema operativo. La capacidad de ejecutar código arbitrario permite un amplio rango de ataques, desde la defacement del sitio web hasta la exfiltración de datos confidenciales. La falta de autenticación necesaria para explotar la vulnerabilidad aumenta significativamente el riesgo de ataque.
CVE-2025-1661 ha sido publicado el 11 de marzo de 2025. No se ha reportado su inclusión en el KEV de CISA al momento de esta redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (LFI) la hace susceptible a explotación. La falta de autenticación necesaria para la explotación aumenta la probabilidad de que sea aprovechada por atacantes.
WordPress websites using the HUSKY – Products Filter Professional for WooCommerce plugin, particularly those running older, unpatched versions (0.0.0–1.3.6.5). Shared hosting environments are at increased risk, as they often have limited control over server configurations and plugin updates. Sites with weak file access controls are also more vulnerable.
• wordpress / composer / npm:
grep -r 'woof_text_search' /var/www/html/wp-content/plugins/• generic web:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=woof_text_search&template=../../../../../../etc/passwd | head -n 1• wordpress / composer / npm:
wp plugin list | grep HUSKYdisclosure
Estado del Exploit
EPSS
91.45% (100% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1661 es actualizar el plugin HUSKY – Products Filter Professional for WooCommerce a la última versión disponible, que incluye la corrección de la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Estas medidas pueden incluir la restricción de acceso al archivo vulnerable a través de reglas de firewall o WAF (Web Application Firewall), así como la revisión de los permisos de los archivos y directorios del plugin. Además, se recomienda monitorear los registros del servidor en busca de actividad sospechosa relacionada con la vulnerabilidad. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor y realizando pruebas de penetración básicas.
Actualice el plugin HUSKY – Products Filter Professional for WooCommerce a la última versión disponible para mitigar la vulnerabilidad de inclusión de archivos locales no autenticados. Verifique las notas de la versión del plugin para obtener instrucciones específicas de actualización. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar todas las entradas del usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1661 es una vulnerabilidad de Inclusión de Archivos (LFI) en el plugin HUSKY – Products Filter Professional for WooCommerce para WordPress que permite la ejecución de código arbitrario.
Si está utilizando el plugin HUSKY – Products Filter Professional for WooCommerce en su sitio WordPress en versiones desde 0.0.0 hasta 1.3.6.5, es vulnerable a esta falla.
La solución es actualizar el plugin HUSKY – Products Filter Professional for WooCommerce a la última versión disponible. Si la actualización no es posible, aplique medidas de mitigación como reglas de firewall.
Aunque no se han reportado explotaciones activas, la naturaleza de la vulnerabilidad la hace susceptible a ataques. Se recomienda aplicar las mitigaciones lo antes posible.
Consulte el sitio web del desarrollador de HUSKY o el repositorio del plugin en WordPress.org para obtener la información más reciente sobre la vulnerabilidad y la solución.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.