Plataforma
wordpress
Componente
countdown-builder
Corregido en
2.8.9
Se ha identificado una vulnerabilidad de Ejecución Remota de Código (RCE) en el plugin Countdown & Clock para WordPress. Esta falla, clasificada como crítica, se debe a una limitación incorrecta de la ruta de acceso, permitiendo la inclusión remota de código (Path Traversal). La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.8.8, y se recomienda actualizar a la versión 2.8.9 para solucionar el problema.
Un atacante puede explotar esta vulnerabilidad para incluir archivos remotos en el servidor WordPress, lo que podría resultar en la ejecución de código malicioso. Esto podría permitir al atacante tomar control total del sitio web, robar datos confidenciales, modificar contenido o incluso utilizar el servidor como punto de partida para ataques a otros sistemas en la red. La severidad crítica de esta vulnerabilidad indica un alto riesgo de explotación y un impacto potencialmente devastador para las organizaciones que utilizan el plugin Countdown & Clock.
La vulnerabilidad CVE-2025-30841 fue publicada el 1 de abril de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de pruebas de concepto (PoC) públicas al momento de la publicación. Sin embargo, dada la severidad de la vulnerabilidad (CVSS 9.9) y su naturaleza de Path Traversal, es probable que se convierta en un objetivo para atacantes en el futuro cercano.
Websites utilizing the Countdown & Clock plugin, particularly those running older, unpatched versions (0.0.0–2.8.8), are at significant risk. Shared hosting environments are especially vulnerable, as a compromise of one website can potentially impact others on the same server. Sites relying on the plugin for critical countdown timers or promotional campaigns are also at higher risk due to the potential for disruption and data theft.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/countdown-builder/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/countdown-builder/../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive | grep countdown-builderdisclosure
Estado del Exploit
EPSS
0.40% (61% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Countdown & Clock a la versión 2.8.9 o superior, donde se ha solucionado el problema. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al archivo afectado o implementar reglas de firewall (WAF) para bloquear solicitudes sospechosas que intenten explotar la vulnerabilidad. Además, revise los logs del servidor en busca de actividad inusual que pueda indicar un intento de explotación. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que no se puedan incluir archivos remotos a través de la ruta de acceso.
Actualice el plugin Countdown & Clock a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-30841 es una vulnerabilidad de Ejecución Remota de Código (RCE) en el plugin Countdown & Clock para WordPress, que permite la inclusión remota de código a través de Path Traversal, afectando versiones 0.0.0 a 2.8.8.
Si está utilizando el plugin Countdown & Clock en una versión anterior a la 2.8.9, es vulnerable a esta vulnerabilidad. Verifique la versión instalada en su sitio web.
La solución es actualizar el plugin Countdown & Clock a la versión 2.8.9 o superior. Si no puede actualizar inmediatamente, implemente reglas de firewall para mitigar el riesgo.
Aunque no se han reportado explotaciones activas al momento de la publicación, la alta severidad de la vulnerabilidad sugiere que podría ser un objetivo para atacantes en el futuro.
Consulte la página web oficial del plugin Countdown & Clock o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad y la solución.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.