Plataforma
wordpress
Componente
vite-coupon
Corregido en
1.0.10
Se ha identificado una vulnerabilidad de Inclusión de Código Remoto (RCE) en el plugin Vite Coupon para WordPress. Esta vulnerabilidad, desencadenada por una falla en el manejo de solicitudes CSRF, permite a un atacante ejecutar código arbitrario en el servidor. Afecta a las versiones del plugin desde la 0 hasta la 1.0.9, y se recomienda actualizar a la versión 1.0.8 para solucionar el problema.
La vulnerabilidad de RCE en Vite Coupon representa un riesgo significativo para los sitios web de WordPress que utilizan este plugin. Un atacante puede explotar esta falla para ejecutar código malicioso en el servidor, comprometiendo la integridad y confidencialidad de los datos. Esto podría incluir la modificación de archivos del sitio web, la inyección de código malicioso, el robo de información sensible (como credenciales de usuario o datos de clientes) y el control total del servidor. Dada la naturaleza de la inclusión de código remoto, el atacante podría instalar puertas traseras persistentes o utilizar el servidor comprometido como punto de apoyo para atacar otros sistemas en la red.
Esta vulnerabilidad ha sido publicada el 9 de abril de 2025. No se ha confirmado la explotación activa en campañas conocidas, pero la alta puntuación CVSS (9.6) indica un alto riesgo. La naturaleza de la vulnerabilidad (RCE a través de CSRF) la hace potencialmente explotable con relativa facilidad, especialmente si los sitios web no tienen protecciones CSRF adecuadas implementadas.
Websites using the Vite Coupon plugin, particularly those with a large user base or handling sensitive customer data, are at significant risk. Shared WordPress hosting environments are especially vulnerable, as a compromise of one site can potentially impact others on the same server. Sites with outdated WordPress installations or weak CSRF protection are also at increased risk.
• wordpress / plugin: Use wp-cli to check the installed version of Vite Coupon: wp plugin version vite-coupon. If the version is less than 1.0.8, the system is vulnerable.
• wordpress / plugin: Search WordPress plugin files for suspicious code related to code inclusion, particularly in areas handling user input or external data.
• generic web: Monitor web server access logs for requests containing unusual parameters or file extensions associated with code execution (e.g., .php, .js, .cgi).
• generic web: Inspect response headers for unexpected content or code execution indicators.
disclosure
Estado del Exploit
EPSS
0.14% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Vite Coupon a la versión 1.0.8 o superior, donde se ha solucionado el problema. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes CSRF sospechosas dirigidas al plugin Vite Coupon. Además, revise los registros del servidor en busca de actividad inusual que pueda indicar un intento de explotación.
Actualice el plugin Vite Coupon a la última versión disponible para mitigar la vulnerabilidad de CSRF que podría permitir la ejecución remota de código. Consulte las fuentes oficiales del plugin o el repositorio de WordPress para obtener la versión actualizada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-32642 is a critical Remote Code Execution (RCE) vulnerability in the Vite Coupon WordPress plugin, allowing attackers to execute arbitrary code via CSRF. It affects versions 0 through 1.0.9.
Yes, if you are using Vite Coupon version 0 through 1.0.9, you are affected by this vulnerability. Upgrade immediately.
Upgrade the Vite Coupon plugin to version 1.0.8 or later. If immediate upgrade is not possible, implement WAF rules and ensure CSRF protection is enabled.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for active campaigns. Monitor security advisories.
Refer to the Vite Coupon plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.