Plataforma
wordpress
Componente
add-custom-codes
Corregido en
4.80.1
Se ha identificado una vulnerabilidad de inyección de código en el plugin Add Custom Codes para WordPress. Esta falla, clasificada con una severidad ALTA (CVSS: 7.5), permite a un atacante inyectar código malicioso en el sistema. Afecta a las versiones desde 0.0.0 hasta la 4.80, y la solución es actualizar a la versión 5.0.
La vulnerabilidad de inyección de código en Add Custom Codes permite a un atacante ejecutar código PHP arbitrario en el servidor donde está instalado el plugin. Esto puede resultar en la toma de control completa del sitio web, robo de datos sensibles (como credenciales de usuario, información de clientes, o datos de la base de datos), modificación del contenido del sitio, o incluso el uso del servidor para lanzar ataques contra otros sistemas. Un atacante podría inyectar código para crear una puerta trasera persistente, permitiéndole acceder al sitio web incluso después de que la vulnerabilidad original haya sido parcheada. La inyección de código es una de las vulnerabilidades más peligrosas, ya que puede comprometer la integridad y confidencialidad de todo el sistema.
La vulnerabilidad CVE-2025-30975 fue publicada el 20 de agosto de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza crítica de la inyección de código sugiere un riesgo significativo. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa. La falta de un PoC público no significa que no pueda ser explotada.
WordPress sites utilizing the SaifuMak Add Custom Codes plugin, particularly those running older, unpatched versions (0.0.0–4.80), are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "add_custom_codes" /var/www/html/• wordpress / composer / npm:
wp plugin list | grep add_custom_codes• wordpress / composer / npm:
wp plugin update add-custom-codesdisclosure
Estado del Exploit
EPSS
0.05% (14% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Add Custom Codes a la versión 5.0 o superior, que incluye la corrección de seguridad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede restringir el acceso al archivo de configuración del plugin o implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan código potencialmente malicioso. Verifique después de la actualización que el plugin funcione correctamente y que no haya errores en el registro del servidor.
Actualizar a la versión 5.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-30975 is a Code Injection vulnerability affecting SaifuMak Add Custom Codes versions 0.0.0–4.80, allowing attackers to inject malicious code. It carries a CVSS score of 7.5 (HIGH).
You are affected if your WordPress site uses SaifuMak Add Custom Codes version 0.0.0 through 4.80. Check your plugin versions immediately.
Upgrade the SaifuMak Add Custom Codes plugin to version 5.0 or later. If immediate upgrade is not possible, temporarily disable the plugin.
As of 2025-08-20, there are no publicly known active exploits, but the vulnerability's nature suggests a potential for exploitation.
Refer to the SaifuMak plugin documentation or their official website for the latest advisory regarding CVE-2025-30975.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.