Plataforma
wordpress
Componente
verification-sms-targetsms
Corregido en
1.5.1
El plugin Verification SMS with TargetSMS para WordPress es vulnerable a una ejecución remota de código (RCE). Esta vulnerabilidad afecta a todas las versiones hasta la 1.5, permitiendo a atacantes no autenticados ejecutar funciones arbitrarias en el sitio web. La falta de validación en la función 'targetvrajaxhandler' es la causa principal de este problema. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación inmediatas.
Un atacante puede explotar esta vulnerabilidad para ejecutar código malicioso en el servidor web que aloja el sitio WordPress. Esto podría resultar en la toma de control completa del sitio, robo de datos sensibles (como información de usuarios, contraseñas, datos de clientes), modificación del contenido del sitio web, o incluso el uso del servidor para lanzar ataques a otros sistemas. La capacidad de ejecutar funciones arbitrarias, como phpinfo(), demuestra la gravedad de la vulnerabilidad y su potencial para causar un daño significativo. La ejecución de código arbitrario abre la puerta a una amplia gama de ataques, incluyendo la instalación de puertas traseras, el robo de credenciales y la interrupción del servicio.
Esta vulnerabilidad ha sido publicada públicamente el 24 de abril de 2025. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de una RCE en un plugin popular de WordPress la convierte en un objetivo atractivo para los atacantes. Es importante monitorear el sitio web en busca de signos de compromiso y aplicar las mitigaciones necesarias lo antes posible. La vulnerabilidad se considera de alta prioridad debido a su facilidad de explotación y el potencial impacto en la seguridad del sitio web.
WordPress websites utilizing the Verification SMS with TargetSMS plugin, particularly those running older, unpatched versions (0.0.0 – 1.5), are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and security configurations. Websites relying on this plugin for SMS verification services are also at increased risk of data breaches and service disruption.
• wordpress / composer / npm:
grep -r 'targetvr_ajax_handler' /var/www/html/wp-content/plugins/verification-sms-with-targetsms/• wordpress / composer / npm:
wp plugin list | grep 'verification-sms-with-targetsms'• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=targetvr_ajax_handler• generic web:
Review WordPress access logs for requests to /wp-admin/admin-ajax.php?action=targetvrajaxhandler originating from unusual IP addresses.
disclosure
Estado del Exploit
EPSS
0.68% (71% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Verification SMS with TargetSMS a la última versión disponible, que debería corregir esta vulnerabilidad. Si la actualización no es posible inmediatamente, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir restringir el acceso al archivo 'targetvrajaxhandler' a través de un firewall de aplicaciones web (WAF) o un proxy inverso, implementando reglas que bloqueen solicitudes sospechosas. Además, se recomienda revisar y fortalecer las políticas de seguridad del sitio WordPress, incluyendo la implementación de contraseñas robustas y la habilitación de la autenticación de dos factores. Después de la actualización, confirme que la función 'targetvrajaxhandler' está correctamente validada y que no se puede ejecutar código arbitrario.
Actualice el plugin Verification SMS with TargetSMS a la última versión disponible para mitigar la vulnerabilidad de ejecución remota de código. Verifique la fuente oficial del plugin en WordPress.org para obtener la actualización más reciente y siga las instrucciones de instalación proporcionadas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-3776 is a Remote Code Execution vulnerability in the Verification SMS with TargetSMS WordPress plugin, allowing attackers to execute code on your server.
You are affected if your WordPress site uses the Verification SMS with TargetSMS plugin and is running version 0.0.0 through 1.5.
Upgrade the Verification SMS with TargetSMS plugin to the latest available version as soon as a patch is released. Disable the plugin as a temporary workaround.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a potential for active exploitation.
Check the plugin developer's website or WordPress plugin repository for updates and security advisories related to CVE-2025-3776.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.