Plataforma
wordpress
Componente
instawp-connect
Corregido en
0.1.1
La vulnerabilidad CVE-2025-2636 es una Inclusión de Archivos Locales (LFI) que afecta al plugin InstaWP Connect – 1-click WP Staging & Migration para WordPress. Esta falla permite a atacantes no autenticados incluir y ejecutar archivos PHP arbitrarios en el servidor, comprometiendo la seguridad del sitio web. Las versiones afectadas son desde la 0.0.0 hasta la 0.1.0.85. Se recomienda actualizar el plugin a la última versión disponible o implementar medidas de mitigación.
Un atacante que explote esta vulnerabilidad puede obtener control sobre el servidor web. Al incluir y ejecutar código PHP arbitrario, el atacante puede acceder a información sensible almacenada en el servidor, modificar archivos del sitio web, instalar malware, o incluso tomar el control completo del servidor. La capacidad de ejecutar código arbitrario permite eludir controles de acceso y comprometer la integridad y confidencialidad de los datos. La inclusión de archivos puede ser facilitada si el atacante puede subir archivos PHP o si ya existen archivos PHP accesibles en el sistema de archivos.
Actualmente, no se han reportado casos de explotación activa de esta vulnerabilidad. La vulnerabilidad fue publicada el 2025-04-11. No se ha añadido a la lista KEV de CISA. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación. Se recomienda monitorear las fuentes de información sobre seguridad para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
WordPress websites using the InstaWP Connect plugin, particularly those with default file upload permissions or those running older, unpatched versions of WordPress, are at significant risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'instawp-database-manager' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep InstaWP Connect• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/instawp-connect -type f -name '*.php' -print0 | xargs -0 grep 'instawp-database-manager'disclosure
Estado del Exploit
EPSS
10.16% (93% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin InstaWP Connect a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda restringir el acceso al parámetro 'instawp-database-manager' mediante reglas de firewall o configuración del servidor web. Además, es crucial revisar los permisos de los archivos y directorios del sitio web para asegurar que solo los usuarios autorizados tengan acceso a ellos. Implementar un sistema de detección de intrusiones (IDS) puede ayudar a identificar intentos de explotación de esta vulnerabilidad. Después de la actualización, confirme la corrección verificando que el parámetro 'instawp-database-manager' ya no sea vulnerable a la inclusión de archivos.
Actualice el plugin InstaWP Connect a una versión corregida. La vulnerabilidad de inclusión de archivos locales no autenticados permite la ejecución de código arbitrario. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2636 is a Local File Inclusion vulnerability in the InstaWP Connect WordPress plugin, allowing attackers to execute arbitrary files. It has a CVSS score of 8.1 (HIGH) and affects versions 0.0.0–0.1.0.85.
You are affected if your WordPress site uses the InstaWP Connect plugin in versions 0.0.0 through 0.1.0.85. Check your plugin versions immediately.
Upgrade to the latest version of the InstaWP Connect plugin as soon as a patch is released. Until then, implement WAF rules or restrict file upload permissions.
There is currently no confirmed active exploitation, but the vulnerability is considered high severity and PoCs are likely to emerge.
Check the official InstaWP Connect website and WordPress plugin repository for updates and security advisories related to CVE-2025-2636.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.