Plataforma
wordpress
Componente
woffice
Corregido en
5.4.22
CVE-2025-2798 es una vulnerabilidad de bypass de autenticación crítica que afecta a Woffice CRM para WordPress, versiones desde 0.0.0 hasta la 5.4.21. Esta falla permite a atacantes no autenticados registrarse con el rol de Administrador, comprometiendo la seguridad del sistema. La vulnerabilidad se debe a una configuración incorrecta de roles excluidos durante el registro y se puede combinar con CVE-2025-2797. Una actualización a la versión 5.4.22 soluciona este problema.
La explotación exitosa de esta vulnerabilidad permite a un atacante no autenticado obtener acceso privilegiado al sistema Woffice CRM como Administrador. Esto otorga control total sobre la aplicación, incluyendo la capacidad de modificar datos, crear usuarios, instalar plugins maliciosos y comprometer la información sensible almacenada en el CRM. La combinación con CVE-2025-2797 podría permitir a un atacante eludir el proceso de aprobación de usuarios si puede engañar a un administrador para que realice una acción, como hacer clic en un enlace malicioso. El impacto potencial es la pérdida de confidencialidad, integridad y disponibilidad de los datos del CRM, así como la posible exposición de información personal de los clientes.
CVE-2025-2798 fue publicado el 4 de abril de 2025. La vulnerabilidad se considera de alta probabilidad de explotación debido a su gravedad (CVSS 9.8) y la relativa facilidad con la que puede ser explotada. No se han reportado activamente campañas de explotación a la fecha, pero la disponibilidad de la vulnerabilidad y su impacto crítico la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
Organizations using Woffice CRM, particularly those with custom login forms or relying on the standard user registration process, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server are also vulnerable, as a compromise of one site could potentially impact others. Sites using older, unpatched versions of WordPress are also at increased risk due to potential compatibility issues.
• wordpress / composer / npm:
wp plugin list | grep woffice• wordpress / composer / npm:
wp plugin update woffice• wordpress / composer / npm:
grep -r 'excluded_roles' /var/www/html/wp-content/plugins/wooffice-crm/*• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wooffice_register_userdisclosure
patch
Estado del Exploit
EPSS
1.05% (77% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Woffice CRM a la versión 5.4.22 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restrinja el acceso a la funcionalidad de registro solo a usuarios autorizados. Implemente una validación robusta de roles y permisos durante el proceso de registro. Revise y fortalezca la configuración de los roles excluidos. Monitoree los registros del servidor en busca de intentos de registro sospechosos. Después de la actualización, confirme que el proceso de registro requiere autenticación y que los roles de usuario se asignan correctamente.
Actualice el tema Woffice CRM a la versión 5.4.22 o superior para corregir la vulnerabilidad de bypass de autenticación. Esta actualización aborda la configuración incorrecta de los roles excluidos durante el registro, previniendo que atacantes no autenticados se registren con privilegios de administrador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2798 is a critical vulnerability in Woffice CRM allowing unauthenticated attackers to register with Administrator roles due to a misconfigured registration process.
If you are using Woffice CRM versions 0.0.0 through 5.4.21, you are affected by this vulnerability and must upgrade immediately.
Upgrade Woffice CRM to version 5.4.22 or later to resolve the Authentication Bypass vulnerability. Consider temporary mitigations if immediate upgrade is not possible.
While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation. Monitor security advisories.
Refer to the official Woffice CRM website or WordPress plugin repository for the latest security advisory and update information regarding CVE-2025-2798.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.