Plataforma
wordpress
Componente
postpage-import-export-with-custom-fields-taxonomies
Corregido en
2.0.4
La vulnerabilidad CVE-2025-24677 es una falla de Inclusión Remota de Código (RCE) presente en el plugin Post/Page Copying Tool para WordPress. Esta falla permite a un atacante ejecutar código malicioso en un sitio web vulnerable. Afecta a las versiones desde 0.0.0 hasta la 2.0.3, y se recomienda actualizar a la versión 2.0.4 para solucionar el problema.
Un atacante que explote esta vulnerabilidad puede ejecutar código arbitrario en el servidor web, comprometiendo completamente el sitio WordPress. Esto podría resultar en la exfiltración de datos sensibles, la modificación del contenido del sitio, la instalación de malware o incluso el control total del servidor. La inclusión remota de código permite la ejecución de comandos del sistema operativo, lo que amplía significativamente el alcance del ataque. La severidad crítica de esta vulnerabilidad la coloca entre las más peligrosas, similar a otras vulnerabilidades de RCE que han afectado a plataformas populares.
Esta vulnerabilidad fue publicada el 4 de febrero de 2025. No se ha confirmado la explotación activa en campañas conocidas, pero la alta severidad (CVSS 9.9) indica un riesgo significativo. La disponibilidad de un exploit público podría aumentar la probabilidad de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
WordPress websites utilizing the wpspin Post/Page Copying Tool, particularly those running versions 0.0.0 through 2.0.3, are at significant risk. Shared hosting environments are especially vulnerable, as a compromised plugin on one site could potentially impact other sites hosted on the same server. Websites relying on this plugin for content migration or duplication are particularly exposed.
• wordpress / composer / npm:
grep -r 'postpage-import-export-with-custom-fields-taxonomies' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/postpage-import-export-with-custom-fields-taxonomies/ | grep Server• wordpress / composer / npm:
wp plugin list | grep postpage-import-export-with-custom-fields-taxonomiesdisclosure
Estado del Exploit
EPSS
0.12% (31% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Post/Page Copying Tool a la versión 2.0.4 o superior. Si la actualización no es inmediatamente posible, considere deshabilitar temporalmente el plugin para reducir el riesgo. Como medida adicional, revise los archivos del plugin en busca de modificaciones sospechosas. Implementar reglas en un Web Application Firewall (WAF) que bloqueen la inclusión de archivos externos podría proporcionar una capa de protección adicional. Monitoree los logs del servidor en busca de patrones de actividad inusuales que puedan indicar un intento de explotación.
Actualice el plugin 'Post/Page Copying Tool' a la versión 2.0.4 o superior para mitigar la vulnerabilidad de ejecución remota de código. Esta actualización aborda la falta de control en la generación de código, previniendo la inclusión de código malicioso. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar el plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-24677 is a critical Remote Code Execution vulnerability in the wpspin Post/Page Copying Tool, allowing attackers to execute arbitrary code on a WordPress website.
Yes, if you are using wpspin Post/Page Copying Tool versions 0.0.0 through 2.0.3, you are vulnerable to this RCE.
Upgrade the wpspin Post/Page Copying Tool to version 2.0.4 or later to remediate the vulnerability. If immediate upgrade is not possible, disable the plugin.
While no confirmed exploitation is currently public, the severity of the vulnerability suggests a high probability of exploitation.
Refer to the wpspin project's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.