Plataforma
wordpress
Componente
realteo
Corregido en
1.2.9
El plugin Realteo - Real Estate para WordPress, desarrollado por Purethemes y utilizado con el tema Findeo, presenta una vulnerabilidad de bypass de autenticación. Esta falla permite a atacantes no autenticados registrarse en la plataforma con el rol de Administrador, comprometiendo la seguridad del sitio web. La vulnerabilidad afecta a todas las versiones hasta la 1.2.8. Se recomienda actualizar el plugin a la versión corregida lo antes posible.
La gravedad de esta vulnerabilidad radica en la facilidad con la que un atacante puede obtener privilegios de administrador sin necesidad de credenciales válidas. Una vez con acceso de administrador, el atacante puede realizar cualquier acción en el sitio web, incluyendo la modificación o eliminación de contenido, la instalación de malware, el acceso a datos sensibles de los usuarios y la toma total del control del sitio. Este tipo de vulnerabilidad es particularmente peligrosa porque puede permitir un ataque persistente y silencioso, donde el atacante mantiene acceso al sitio web durante un período prolongado sin ser detectado. La falta de autenticación adecuada es una causa común de este tipo de problemas y resalta la importancia de implementar controles de acceso robustos en todas las aplicaciones web.
Esta vulnerabilidad fue publicada el 14 de marzo de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Es probable que esta vulnerabilidad sea objeto de escaneo y explotación por parte de atacantes. Se recomienda monitorear los sistemas afectados en busca de actividad sospechosa.
Websites utilizing the Realteo - Real Estate Plugin, particularly those running older, unpatched versions (0–1.2.8), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites relying on the Findeo Theme, which integrates with the plugin, are also affected.
• wordpress / composer / npm:
wp plugin list --status=active | grep Realteo• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status realteo-real-estate-plugin• wordpress / composer / npm:
wp option get admin_user_email• wordpress / composer / npm:
wp user get admin --fields=rolesdisclosure
Estado del Exploit
EPSS
0.88% (75% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Realteo - Real Estate a la última versión disponible, que incluye la corrección de la falla de autenticación. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la página de registro de usuarios, implementar un sistema de doble autenticación (2FA) para los administradores y revisar periódicamente los usuarios y roles existentes en el sitio web. Además, se puede considerar el uso de un firewall de aplicaciones web (WAF) para bloquear intentos de registro sospechosos. Después de la actualización, confirme que el registro de usuarios requiere autenticación adecuada y que los roles de usuario se asignan correctamente.
Actualice el plugin Realteo a una versión corregida. Verifique el sitio web de Purethemes o el repositorio de WordPress para obtener la última versión disponible que solucione la vulnerabilidad de omisión de autenticación. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2232 is a CRITICAL vulnerability in the Realteo - Real Estate Plugin for WordPress allowing unauthenticated attackers to create administrator accounts, gaining full control of the site.
If you are using the Realteo - Real Estate Plugin for WordPress in versions 0 through 1.2.8, you are affected by this vulnerability. Check your plugin versions immediately.
The recommended fix is to immediately upgrade the Realteo - Real Estate Plugin to the latest patched version available from the vendor. If upgrading is not possible, implement temporary role-based access controls.
While no active campaigns have been confirmed, the vulnerability is considered high-priority and public proof-of-concept code is likely to emerge, increasing the risk of exploitation.
Refer to the Purethemes website and WordPress plugin repository for the latest advisory and patched version of the Realteo - Real Estate Plugin.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.