Plataforma
wordpress
Componente
bidorbuystoreintegrator
Corregido en
2.12.1
La vulnerabilidad CVE-2025-48100 es una falla de Inyección de Código (Code Injection) que permite la Ejecución Remota de Código (RCE) en el plugin bidorbuy Store Integrator para WordPress. Esta falla permite a un atacante incluir código de forma remota, comprometiendo potencialmente la seguridad del servidor. Afecta a las versiones desde 0.0.0 hasta la 2.12.0, siendo la versión 2.12.1 la que corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad para ejecutar código malicioso en el servidor WordPress donde está instalado el plugin bidorbuy Store Integrator. Esto podría resultar en la toma de control completa del servidor, robo de datos sensibles, modificación de contenido del sitio web o incluso el uso del servidor para lanzar ataques a otros sistemas. La inclusión remota de código (RCE) es una de las vulnerabilidades más graves, ya que permite a un atacante ejecutar comandos arbitrarios con los privilegios del usuario bajo el cual se ejecuta el proceso del plugin. La falta de controles adecuados en la generación de código facilita la inyección de código malicioso, similar a vulnerabilidades observadas en otros plugins que no validan adecuadamente las entradas del usuario.
La vulnerabilidad CVE-2025-48100 fue publicada el 28 de agosto de 2025. No se ha confirmado la inclusión en el KEV de CISA, pero la severidad CRÍTICA indica una alta probabilidad de explotación. Se desconoce la existencia de pruebas de concepto (PoC) públicas activas, pero dada la naturaleza de la vulnerabilidad (RCE), es probable que se desarrollen en el futuro. Monitorear los foros de seguridad y las fuentes de inteligencia de amenazas es crucial para detectar posibles campañas de explotación.
WordPress websites utilizing the bidorbuy Store Integrator plugin, particularly those running older versions (0.0.0–2.12.0), are at significant risk. Shared hosting environments are especially vulnerable as they often lack granular control over plugin updates and security configurations. Sites relying on legacy WordPress installations or those with inadequate security practices are also at increased risk.
• wordpress / composer / npm:
grep -r "bidorbuy Store Integrator" /var/www/html/
wp plugin list | grep bidorbuy Store Integrator• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/bidorbuy-store-integrator/• wordpress / composer / npm:
wp plugin update bidorbuy-store-integratordisclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-48100 es actualizar el plugin bidorbuy Store Integrator a la versión 2.12.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de proceder. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan patrones sospechosos de inclusión de código. Además, revise los permisos del usuario que ejecuta el plugin para asegurar que tenga el mínimo nivel de acceso necesario. Después de la actualización, verifique la integridad del plugin y del sitio web para confirmar que la vulnerabilidad ha sido resuelta.
Actualice el plugin bidorbuy Store Integrator a la última versión disponible para mitigar la vulnerabilidad de ejecución remota de código. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Considere deshabilitar o eliminar el plugin si no es esencial para su sitio web.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48100 is a critical Remote Code Execution vulnerability in the bidorbuy Store Integrator WordPress plugin, allowing attackers to execute arbitrary code through Code Injection.
You are affected if your WordPress site uses bidorbuy Store Integrator versions 0.0.0 through 2.12.0. Check your plugin versions immediately.
Upgrade the bidorbuy Store Integrator plugin to version 2.12.1 or later. If immediate upgrade is not possible, temporarily disable the plugin.
As of the publication date, there is no confirmed active exploitation, but the vulnerability's severity suggests exploitation is likely.
Refer to the extremeidea website and WordPress plugin repository for the latest advisory and updates regarding CVE-2025-48100.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.