Plataforma
wordpress
Componente
visual-text-editor
Corregido en
1.2.2
Se ha identificado una vulnerabilidad de Ejecución Remota de Código (RCE) en el editor Visual Text Editor de Govind. Esta falla, clasificada como crítica, permite la inclusión remota de código, lo que podría resultar en la ejecución no autorizada de código malicioso en sistemas vulnerables. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.2.1, y se recomienda actualizar a la versión 1.2.2 para solucionar el problema.
La vulnerabilidad de inclusión remota de código en Visual Text Editor presenta un riesgo significativo. Un atacante podría explotar esta falla para ejecutar código arbitrario en el servidor donde se aloja el plugin, comprometiendo potencialmente la integridad y confidencialidad de los datos. El atacante podría obtener acceso no autorizado a información sensible, modificar archivos del sistema, instalar malware o incluso tomar el control total del servidor. Esta vulnerabilidad es particularmente preocupante debido a su alta puntuación CVSS y la posibilidad de ejecución remota, lo que facilita la explotación desde cualquier ubicación con acceso a la instancia de WordPress.
Esta vulnerabilidad ha sido publicada el 26 de marzo de 2025. No se ha confirmado la explotación activa en campañas conocidas, pero la alta puntuación CVSS y la naturaleza de la vulnerabilidad (RCE) sugieren un riesgo significativo. Es importante monitorear la situación y aplicar las mitigaciones lo antes posible. Se recomienda verificar si esta vulnerabilidad ha sido agregada al Catálogo de Vulnerabilidades Conocidas (KEV) de CISA.
WordPress websites utilizing the Govind Visual Text Editor plugin, particularly those running older, unpatched versions (0.0.0 - 1.2.1), are at significant risk. Shared hosting environments where plugin updates are not managed by the user are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "visual-text-editor/" /var/www/html
wp plugin list | grep visual-text-editor• generic web:
curl -I https://your-website.com/wp-content/plugins/visual-text-editor/ | grep Serverdisclosure
Estado del Exploit
EPSS
0.11% (30% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Visual Text Editor a la versión 1.2.2 o superior, que incluye la corrección para la inclusión remota de código. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales, como restringir el acceso al plugin a usuarios autorizados y monitorear los logs del servidor en busca de actividad sospechosa. Además, se recomienda revisar y fortalecer las políticas de seguridad de WordPress, incluyendo la implementación de un firewall de aplicaciones web (WAF) para filtrar tráfico malicioso.
Actualice el plugin Visual Text Editor a la última versión disponible para mitigar la vulnerabilidad de ejecución remota de código. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Considere deshabilitar o eliminar el plugin si no es esencial.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-28893 is a critical Remote Code Execution vulnerability in the Govind Visual Text Editor plugin for WordPress, allowing attackers to execute arbitrary code via Remote Code Inclusion.
You are affected if you are using Govind Visual Text Editor versions 0.0.0 through 1.2.1. Check your plugin versions and upgrade immediately.
Upgrade the Govind Visual Text Editor plugin to version 1.2.2 or later. If immediate upgrade is not possible, disable the plugin temporarily.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the official Govind Visual Text Editor website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.