Plataforma
wordpress
Componente
wp-review
Corregido en
5.3.6
La vulnerabilidad CVE-2025-2158 afecta al plugin WordPress Review Plugin: The Ultimate Solution for Building a Review Website, permitiendo una inclusión de archivos (LFI) a través de campos personalizados de publicación. Esta falla permite a atacantes autenticados, con privilegios de Contribuidor o superiores, incluir y ejecutar archivos arbitrarios en el servidor. Las versiones afectadas son desde la 0.0.0 hasta la 5.3.5, y la solución recomendada es actualizar a una versión corregida del plugin.
La inclusión de archivos en WordPress Review Plugin representa un riesgo significativo para la seguridad de los sitios web que lo utilizan. Un atacante autenticado, con acceso de Contribuidor o superior, puede explotar esta vulnerabilidad para incluir y ejecutar código PHP arbitrario en el servidor. Esto podría resultar en la ejecución remota de código (RCE), permitiendo al atacante tomar el control del sitio web, robar información confidencial, modificar contenido o incluso comprometer el servidor subyacente. La capacidad de ejecutar código arbitrario abre la puerta a una amplia gama de ataques, incluyendo la instalación de malware, la creación de cuentas de administrador y el acceso a bases de datos sensibles. La vulnerabilidad es similar a otras LFI que han permitido la ejecución de código en entornos WordPress, demostrando la importancia de mantener los plugins actualizados y revisar los permisos de usuario.
La vulnerabilidad CVE-2025-2158 fue publicada el 2025-05-10. No se ha reportado su inclusión en el KEV de CISA ni se conoce un puntaje EPSS. Actualmente, no se han identificado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad (LFI) la convierte en un objetivo potencial para la explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
WordPress websites utilizing the 'WordPress Review Plugin: The Ultimate Solution for Building a Review Website' plugin, particularly those running versions 0.0.0 through 5.3.5, are at risk. Shared hosting environments where users have Contributor-level access are especially vulnerable, as they provide the necessary authentication to exploit the vulnerability. Sites with weak file upload permissions are also at increased risk.
• wordpress / composer / npm:
grep -r "wp_query_vars['post_type']" /var/www/html/wp-content/plugins/the-ultimate-review-plugin-for-wordpress/• wordpress / composer / npm:
wp plugin list | grep "The Ultimate Solution for Building a Review Website"• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type f -mtime -7disclosure
Estado del Exploit
EPSS
0.52% (67% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-2158 es actualizar el plugin WordPress Review Plugin: The Ultimate Solution for Building a Review Website a una versión corregida, una vez que esté disponible. Si la actualización no es posible de inmediato, se recomienda limitar los privilegios de los usuarios con acceso al panel de administración de WordPress, restringiendo el acceso a la funcionalidad de campos personalizados. Además, se puede implementar un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten acceder a archivos sensibles. Monitorear los logs del servidor en busca de patrones inusuales de acceso a archivos también puede ayudar a detectar intentos de explotación. Finalmente, deshabilitar temporalmente el plugin hasta que se pueda aplicar una solución es una medida de mitigación efectiva.
Actualice el plugin WordPress Review Plugin: The Ultimate Solution for Building a Review Website a la última versión disponible para solucionar esta vulnerabilidad de inclusión de archivos locales. Verifique que los permisos de los archivos y directorios sean los adecuados para evitar accesos no autorizados. Considere deshabilitar la ejecución de PHP en directorios donde no sea necesaria.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2158 is a Local File Inclusion vulnerability in the WordPress Review Plugin, allowing authenticated attackers to execute arbitrary files.
You are affected if you are using WordPress Review Plugin versions 0.0.0 through 5.3.5.
Upgrade to a patched version of the WordPress Review Plugin as soon as it is available. Disable the plugin as a temporary workaround.
While not confirmed, active exploitation is possible due to the vulnerability's high severity and ease of exploitation.
Refer to the WordPress Review Plugin developer's website and the WordPress security announcements page for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.