Plataforma
wordpress
Componente
content-no-cache
Corregido en
0.1.5
La vulnerabilidad CVE-2025-28993 es una falla de inyección de código ('Code Injection') detectada en el plugin Content No Cache. Esta falla permite a un atacante inyectar código malicioso, potencialmente comprometiendo la integridad y confidencialidad del sitio web. Afecta las versiones desde 0.0.0 hasta la 0.1.4, y la solución recomendada es actualizar a la versión 0.1.4.
Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en el servidor donde se aloja el sitio WordPress. Esto podría resultar en la toma de control completa del sitio web, robo de datos sensibles (como información de usuarios, credenciales de bases de datos, o archivos de configuración), modificación del contenido del sitio, o incluso el uso del servidor para lanzar ataques contra otros sistemas. La inyección de código es una vulnerabilidad crítica que puede tener un impacto devastador si no se aborda adecuadamente. La falta de control en la generación de código abre una puerta a la ejecución de comandos maliciosos, similar a otras vulnerabilidades de inyección de código que han afectado a plataformas web en el pasado.
La vulnerabilidad CVE-2025-28993 fue publicada el 27 de junio de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas en el momento de la publicación. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
WordPress websites utilizing the Content No Cache plugin, particularly those running older, unpatched versions (0.0.0–0.1.4), are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially impact others.
• wordpress / composer / npm:
grep -r "<?php" /var/www/html/wp-content/plugins/content-no-cache/• wordpress / composer / npm:
wp plugin list | grep content-no-cache• wordpress / composer / npm:
wp plugin update content-no-cachedisclosure
Estado del Exploit
EPSS
0.07% (21% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-28993 es actualizar el plugin Content No Cache a la versión 0.1.4 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se podría deshabilitar el plugin Content No Cache, aunque esto podría afectar la funcionalidad del sitio. No existen reglas WAF o configuraciones específicas que puedan mitigar completamente esta vulnerabilidad sin la actualización del plugin.
Actualice el plugin Content No Cache a la última versión disponible para mitigar la vulnerabilidad de inyección de código. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Realice una copia de seguridad completa de su sitio web antes de realizar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-28993 es una vulnerabilidad de inyección de código en el plugin Content No Cache que permite la ejecución de código malicioso en sitios WordPress.
Si está utilizando Content No Cache en versiones 0.0.0 hasta 0.1.4, sí, está afectado por esta vulnerabilidad.
Actualice el plugin Content No Cache a la versión 0.1.4 o superior para corregir la vulnerabilidad.
Hasta el momento, no se han reportado campañas de explotación activas, pero la disponibilidad de un PoC podría cambiar esta situación.
Consulte el repositorio oficial del plugin o la página web del desarrollador para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.