Plataforma
wordpress
Componente
add-custom-page-template
Corregido en
2.0.2
El plugin Add custom page template para WordPress es vulnerable a una inyección de código PHP, lo que permite la ejecución remota de código (RCE). Esta vulnerabilidad afecta a las versiones desde 0.0.0 hasta 2.0.1, y se debe a una sanitización insuficiente del parámetro 'templatename' en la función 'acptvalidate_setting'. La actualización a la versión 2.0.2 soluciona este problema.
Un atacante autenticado con privilegios de administrador o superiores puede explotar esta vulnerabilidad para ejecutar código malicioso en el servidor. Esto podría resultar en la toma de control completa del sitio web, robo de datos confidenciales, modificación de contenido, o incluso el uso del servidor para lanzar ataques a otros sistemas. La inyección de código PHP permite a los atacantes ejecutar comandos del sistema operativo directamente, lo que amplía significativamente el alcance del daño potencial. La falta de sanitización adecuada del parámetro de entrada facilita la inyección de código malicioso, similar a otras vulnerabilidades de inyección de código PHP que han afectado a plataformas de CMS en el pasado.
Esta vulnerabilidad ha sido publicada públicamente el 26 de abril de 2025. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la vulnerabilidad y su potencial de RCE la convierten en un objetivo atractivo para los atacantes. La puntuación CVSS de 7.2 (ALTO) indica un riesgo significativo. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
WordPress websites utilizing the Add custom page template plugin, particularly those with administrator accounts that have not been secured with strong passwords and multi-factor authentication, are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress: Use wp-cli to check plugin version: wp plugin list --all | grep 'Add custom page template'. If the version is less than 2.0.2, the system is vulnerable.
• wordpress: Examine the plugin's code for the acptvalidatesetting function and look for instances where user input is not properly sanitized.
• generic web: Monitor access logs for requests containing suspicious PHP code in the 'template_name' parameter.
• generic web: Check WordPress error logs for PHP errors related to the plugin.
disclosure
Estado del Exploit
EPSS
1.88% (83% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Add custom page template a la versión 2.0.2 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código PHP malicioso en el parámetro 'templatename'. Además, revise los logs del servidor en busca de actividad sospechosa relacionada con la función 'acptvalidate_setting'.
Actualice el plugin 'Add custom page template' a la versión 2.0.2 o superior para mitigar la vulnerabilidad de inyección de código PHP. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de actualizar cualquier plugin. Verifique que la actualización se haya realizado correctamente revisando los registros de errores de WordPress.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-3491 is a Remote Code Execution vulnerability in the Add custom page template WordPress plugin, allowing authenticated admins to execute code due to insufficient input sanitization.
You are affected if you are using the Add custom page template plugin in WordPress versions 0.0.0 through 2.0.1. Check your plugin version immediately.
Upgrade the Add custom page template plugin to version 2.0.2 or later to resolve the vulnerability. If immediate upgrade is not possible, restrict administrator access to the plugin's settings.
While no active exploitation has been confirmed, the RCE nature of the vulnerability makes it likely that exploitation attempts will occur. Monitor your systems closely.
Refer to the official WordPress security announcements and the Add custom page template plugin's website for updates and advisories related to CVE-2025-3491.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.