Plataforma
wordpress
Componente
block-logic
Corregido en
1.0.9
El plugin Block Logic – Full Gutenberg Block Display Control para WordPress presenta una vulnerabilidad de Ejecución Remota de Código (RCE). Esta falla permite a atacantes autenticados, con privilegios de Contribuidor o superiores, ejecutar código malicioso en el servidor. La vulnerabilidad afecta a las versiones 1.0.0 hasta la 1.0.8, y ha sido solucionada en la versión 2.0.0.
Un atacante con acceso de Contribuidor o superior en un sitio WordPress que utiliza el plugin vulnerable puede explotar esta falla para ejecutar código arbitrario en el servidor. Esto podría resultar en la toma de control completa del sitio web, robo de datos sensibles (como información de usuarios, contraseñas, datos de comercio electrónico), modificación del contenido del sitio, o incluso el uso del servidor para lanzar ataques a otros sistemas. La capacidad de ejecutar código arbitrario representa un riesgo significativo para la confidencialidad, integridad y disponibilidad del sitio web y sus datos. La vulnerabilidad es similar a otras fallas de RCE en plugins de WordPress que involucran la evaluación insegura de entradas de usuario.
Esta vulnerabilidad fue publicada el 22 de marzo de 2025. No se ha reportado su inclusión en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción. La probabilidad de explotación se considera media, dado que requiere acceso autenticado al sitio WordPress, pero la severidad de la vulnerabilidad es alta debido a su potencial para la ejecución de código arbitrario. Se recomienda monitorear activamente los sitios web afectados en busca de signos de explotación.
Websites using the Block Logic – Full Gutenberg Block Display Control plugin, particularly those with multiple contributors or users with elevated privileges, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server are also at increased risk, as a compromise on one site could potentially lead to compromise of others.
• wordpress / plugin:
wp plugin list | grep 'Block Logic – Full Gutenberg Block Display Control'• wordpress / plugin: Check plugin version in WordPress admin dashboard.
• wordpress / plugin: Review WordPress access logs for suspicious requests targeting the blocklogiccheck_logic function.
• wordpress / plugin: Use wp-cli to check for vulnerable plugin versions: wp plugin update --all (and review output for updates).
• wordpress / plugin: Monitor WordPress security plugin alerts for CVE-2025-2303.
disclosure
patch
Estado del Exploit
EPSS
1.29% (80% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Block Logic – Full Gutenberg Block Display Control a la versión 2.0.0 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede limitar el acceso a la función blocklogiccheck_logic mediante reglas de firewall de aplicaciones web (WAF) o proxies inversos para bloquear solicitudes que contengan entradas maliciosas. Además, revise los registros del servidor en busca de intentos de explotación y configure alertas para detectar patrones sospechosos.
Actualizar a la versión 2.0.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2303 is a Remote Code Execution vulnerability in the Block Logic – Full Gutenberg Block Display Control WordPress plugin, allowing authenticated attackers to execute code on the server.
You are affected if you are using the Block Logic – Full Gutenberg Block Display Control plugin versions 1.0.0 through 1.0.8.
Upgrade the Block Logic – Full Gutenberg Block Display Control plugin to version 2.0.0 or later to remediate the vulnerability.
While no active exploitation has been confirmed, the vulnerability is considered exploitable and public PoCs are likely to emerge, increasing the risk of exploitation.
Refer to the official Block Logic plugin documentation and WordPress security announcements for the latest advisory regarding CVE-2025-2303.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.