Plataforma
wordpress
Componente
ap-plugin-scripteo
Corregido en
4.89.1
Se ha identificado una vulnerabilidad de Inclusión de Archivos Locales (LFI) en el plugin Ads Pro para WordPress. Esta falla permite a un atacante incluir archivos arbitrarios en el sistema, lo que podría resultar en la ejecución de código malicioso. La vulnerabilidad afecta a versiones de Ads Pro desde la 0 hasta la 4.89, y se recomienda actualizar a una versión corregida lo antes posible.
La vulnerabilidad de Inclusión de Archivos Locales (LFI) en Ads Pro representa un riesgo significativo para la seguridad de los sitios web que utilizan este plugin. Un atacante podría explotar esta falla para leer archivos confidenciales en el servidor, como archivos de configuración, contraseñas o código fuente. En el peor de los casos, podría ejecutar código arbitrario en el servidor, comprometiendo completamente el sitio web y los datos asociados. La capacidad de incluir archivos arbitrarios abre la puerta a la ejecución remota de código, permitiendo a los atacantes tomar el control del servidor y acceder a información sensible.
La vulnerabilidad CVE-2025-46444 ha sido publicada recientemente (2025-05-23), y su probabilidad de explotación se considera media debido a la relativa facilidad de explotación de las vulnerabilidades LFI y la disponibilidad de herramientas para automatizar el proceso. Actualmente no se han reportado campañas de explotación activas, pero la falta de una versión corregida disponible aumenta el riesgo. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Estado del Exploit
EPSS
0.55% (68% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-46444 es actualizar Ads Pro a una versión corregida tan pronto como esté disponible. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Restrinja los permisos de escritura en el directorio del plugin para evitar la creación de archivos maliciosos. Implemente reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten incluir archivos no autorizados. Revise y endurezca la configuración del servidor web para limitar el acceso a archivos sensibles. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor en busca de intentos de inclusión de archivos sospechosos.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-46444 is a vulnerability in Ads Pro allowing attackers to include arbitrary files on the server, potentially exposing sensitive data. It affects versions 0.0 through 4.89 and has a CVSS score of 8.1 (HIGH).
You are affected if you are using Ads Pro versions 0.0 to 4.89. Check your installed version and implement mitigation strategies until a patch is available.
A patch is pending. Mitigate by restricting file access, validating user input, and using a WAF. Monitor for updates from the vendor.
While no active campaigns have been confirmed, the vulnerability's nature suggests a medium probability of exploitation, and public POCs are likely to emerge.
Check the scripteo website and WordPress plugin repository for updates and advisories related to CVE-2025-46444.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.