Plataforma
wordpress
Componente
countdown-builder
Corregido en
2.8.10
El plugin Countdown, Coming Soon, Maintenance – Countdown & Clock para WordPress presenta una vulnerabilidad de Inclusión de Archivos Locales (LFI) en versiones hasta la 2.8.9.1. Esta falla, presente en la función createCdObj, permite a atacantes no autenticados incluir y ejecutar archivos PHP en el servidor, comprometiendo la seguridad del sitio web. La vulnerabilidad ha sido publicada el 4 de abril de 2025 y se recomienda actualizar a la versión 2.8.10 para solucionar el problema.
La vulnerabilidad de LFI en el plugin Countdown permite a un atacante no autenticado ejecutar código PHP arbitrario en el servidor. Esto significa que un atacante podría, potencialmente, tomar el control completo del sitio web WordPress. El atacante podría leer archivos confidenciales, modificar contenido, instalar malware o incluso ejecutar comandos del sistema operativo. La capacidad de ejecutar código PHP arbitrario amplía significativamente el alcance del ataque, permitiendo la exfiltración de datos sensibles, la modificación de la base de datos y la ejecución de ataques de denegación de servicio (DoS). La falta de autenticación necesaria para explotar la vulnerabilidad la hace particularmente peligrosa, ya que cualquier usuario con acceso al sitio web puede intentar explotarla.
La vulnerabilidad CVE-2025-2270 ha sido publicada públicamente el 4 de abril de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la facilidad de explotación y la falta de autenticación necesaria la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear los registros del servidor y las alertas de seguridad en busca de actividad sospechosa. La vulnerabilidad podría ser agregada al Catálogo de Vulnerabilidades Conocidas (KEV) de CISA en el futuro, dependiendo de la evaluación de riesgo.
Websites utilizing the Countdown, Coming Soon, Maintenance – Countdown & Clock plugin, particularly those running older, unpatched versions (0.0.0–2.8.9.1), are at significant risk. Shared hosting environments where WordPress installations have limited access controls are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'createCdObj' /var/www/html/wp-content/plugins/countdown-coming-soon-maintenance-countdown-clock/• wordpress / composer / npm:
wp plugin list | grep 'Countdown, Coming Soon, Maintenance'• wordpress / composer / npm:
wp plugin update countdown-coming-soon-maintenance-countdown-clockdisclosure
Estado del Exploit
EPSS
0.65% (71% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-2270 es actualizar el plugin Countdown a la versión 2.8.10 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización causa problemas de compatibilidad con otros plugins o el tema de WordPress, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan patrones sospechosos en la URL que podrían indicar un intento de explotación de LFI. Además, revise los permisos de los archivos y directorios del plugin para asegurar que solo el usuario propietario tenga acceso de escritura. Después de la actualización, verifique la integridad del plugin y la ausencia de archivos sospechosos en el directorio del plugin.
Actualice el plugin Countdown, Coming Soon, Maintenance – Countdown & Clock a la versión 2.8.10 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique que su instalación de WordPress esté actualizada y que tenga las últimas medidas de seguridad implementadas. Considere utilizar un plugin de seguridad de WordPress para una protección adicional.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2270 is a Local File Inclusion vulnerability in the Countdown plugin for WordPress, allowing attackers to potentially execute arbitrary code. It affects versions 0.0.0–2.8.9.1.
If you are using the Countdown plugin in WordPress versions 0.0.0 through 2.8.9.1, you are potentially affected by this vulnerability.
Upgrade the Countdown plugin to version 2.8.10 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
While active exploitation has not been confirmed, the vulnerability's ease of exploitation suggests a potential risk of exploitation.
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.