Plataforma
wordpress
Componente
real-estate-manager
Corregido en
7.3.1
La vulnerabilidad CVE-2025-32596 es una falla de Inyección de Código (Code Injection) descubierta en el plugin Real Estate Manager. Esta falla permite a un atacante inyectar y ejecutar código malicioso en el sistema, comprometiendo la seguridad de la aplicación y potencialmente el servidor web. Afecta a las versiones desde 0.0.0 hasta la 7.3, y se recomienda actualizar a la versión 7.3.1 para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en el servidor donde se aloja Real Estate Manager. Esto podría resultar en la toma de control completa del servidor, robo de datos sensibles (como información de clientes, detalles de propiedades, y credenciales de acceso), modificación de datos, o incluso la instalación de malware. La inyección de código permite la ejecución de comandos del sistema operativo, lo que amplía significativamente el alcance del ataque. La falta de validación adecuada de la entrada del usuario permite la inyección de código malicioso, similar a otras vulnerabilidades de inyección de código observadas en aplicaciones web.
La vulnerabilidad CVE-2025-32596 fue publicada el 17 de abril de 2025. No se ha confirmado la inclusión en el KEV de CISA, pero la alta puntuación CVSS (7.3) indica un riesgo significativo. La disponibilidad de un Proof of Concept (PoC) público podría facilitar la explotación por parte de atacantes. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
Real Estate businesses and agencies using the Real Estate Manager plugin on their WordPress websites are at significant risk. This includes those relying on the plugin for managing property listings, client data, and financial transactions. Shared hosting environments where multiple websites share the same server resources are particularly vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "eval(base64_decode(" /var/www/html/wp-content/plugins/real-estate-manager/*• generic web:
curl -I https://your-website.com/wp-content/plugins/real-estate-manager/ | grep -i "eval(base64_decode("disclosure
Estado del Exploit
EPSS
0.31% (54% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-32596 es actualizar el plugin Real Estate Manager a la versión 7.3.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas para bloquear la inyección de código, aunque esto no es una solución completa. Revise los archivos del plugin en busca de código sospechoso y aplique medidas de seguridad adicionales, como la validación estricta de la entrada del usuario y el uso de funciones de escape adecuadas. Después de la actualización, verifique que el plugin se ejecute correctamente y que no haya errores relacionados con la seguridad.
Actualice el plugin Real Estate Manager a la última versión disponible para solucionar la vulnerabilidad de inyección de código. Consulte la página del plugin en WordPress.org para obtener más información y descargar la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-32596 is a Code Injection vulnerability affecting the Real Estate Manager WordPress plugin, allowing attackers to execute arbitrary code. It impacts versions 0.0.0 through 7.3.
If you are using Real Estate Manager version 0.0.0 through 7.3, you are potentially affected by this vulnerability. Check your plugin version and upgrade immediately.
Upgrade the Real Estate Manager plugin to version 7.3.1 or later to resolve this vulnerability. If upgrading is not possible, temporarily disable the plugin.
As of now, there are no confirmed reports of active exploitation, but the HIGH severity score warrants immediate attention and remediation.
Refer to the Real Estate Manager plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.