Plataforma
wordpress
Componente
order-post
Corregido en
2.0.3
El plugin ORDER POST para WordPress presenta una vulnerabilidad de ejecución arbitraria de shortcodes. Esta falla permite a atacantes no autenticados inyectar y ejecutar shortcodes maliciosos, comprometiendo potencialmente la integridad y seguridad del sitio web. La vulnerabilidad afecta a todas las versiones hasta la 2.0.2, y se ha solucionado en la versión 2.0.3.
Un atacante puede explotar esta vulnerabilidad para ejecutar shortcodes arbitrarios en un sitio WordPress que utilice el plugin ORDER POST. Esto podría resultar en la ejecución de código malicioso, la modificación de contenido del sitio web, la inserción de puertas traseras o incluso el control total del sitio. La ejecución de shortcodes arbitrarios permite a un atacante inyectar código PHP, lo que podría llevar a la exfiltración de datos sensibles, la modificación de la base de datos o la interrupción del servicio. La falta de validación adecuada de los valores antes de ejecutar do_shortcode es la raíz del problema, similar a otras vulnerabilidades de inyección de código en WordPress.
Esta vulnerabilidad fue publicada el 10 de abril de 2025. No se ha reportado su inclusión en el KEV de CISA ni se conocen campañas de explotación activas a la fecha. La disponibilidad de un PoC público podría aumentar el riesgo de explotación, por lo que se recomienda aplicar la mitigación lo antes posible. La vulnerabilidad se considera de alta severidad debido a su potencial impacto.
Websites utilizing the ORDER POST plugin, particularly those with limited security hardening or those running older, unpatched WordPress installations, are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable until the provider applies the update.
• wordpress / composer / npm:
grep -r 'do_shortcode(' /var/www/html/wp-content/plugins/order-post/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'order-post'• wordpress / composer / npm:
wp plugin update order-post• generic web: Check WordPress access logs for unusual shortcode usage patterns, particularly those originating from unauthenticated requests.
disclosure
Estado del Exploit
EPSS
1.35% (80% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin ORDER POST a la versión 2.0.3 o superior. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente el plugin hasta que se pueda aplicar la actualización. Como medida adicional, revise cuidadosamente cualquier shortcode personalizado o añadido por terceros para identificar posibles vectores de ataque. Implementar un firewall de aplicaciones web (WAF) puede ayudar a bloquear intentos de explotación conocidos. Monitorear los logs del servidor en busca de actividad sospechosa relacionada con la ejecución de shortcodes también es crucial.
Actualice el plugin ORDER POST a la versión 2.0.3 o superior para mitigar la vulnerabilidad de ejecución arbitraria de shortcodes. Esta actualización corrige la falta de validación de valores antes de ejecutar la función do_shortcode, previniendo la ejecución no autorizada de shortcodes por parte de atacantes no autenticados.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2805 is a vulnerability in the ORDER POST WordPress plugin that allows unauthenticated attackers to execute arbitrary shortcodes due to improper input validation, potentially leading to website defacement or malicious code execution.
You are affected if you are using the ORDER POST plugin in WordPress versions 0.0 through 2.0.2. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the ORDER POST plugin to version 2.0.3 or later to resolve the vulnerability. If upgrading is not possible, temporarily disable the plugin.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a likely target for attackers. Proactive mitigation is recommended.
Refer to the ORDER POST plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.