Plataforma
wordpress
Componente
metalpriceapi
Corregido en
1.1.5
La vulnerabilidad CVE-2025-48140 es una falla de Inyección de Código (Code Injection) en el componente MetalpriceAPI, permitiendo la Ejecución Remota de Código (RCE). Esta falla afecta a las versiones desde 0.0.0 hasta la 1.1.4 inclusive. Una actualización a la versión 1.1.5 soluciona este problema, protegiendo contra la explotación.
Un atacante puede explotar esta vulnerabilidad para ejecutar código malicioso en el servidor donde se ejecuta MetalpriceAPI. Esto podría resultar en la toma de control completa del servidor, robo de datos sensibles, instalación de malware o el uso del servidor como punto de partida para ataques a otros sistemas en la red. La inyección de código permite a los atacantes inyectar comandos arbitrarios que se ejecutarán con los privilegios del proceso MetalpriceAPI, lo que amplía significativamente el potencial de daño. La severidad crítica de esta vulnerabilidad indica un alto riesgo de explotación y un impacto potencialmente devastador.
La vulnerabilidad CVE-2025-48140 fue publicada el 9 de junio de 2025. No se ha confirmado explotación activa en entornos reales, pero la alta puntuación CVSS (9.9) indica un alto riesgo. Se recomienda monitorear activamente los sistemas afectados y aplicar la mitigación lo antes posible. La disponibilidad de un parche indica que la vulnerabilidad es conocida y susceptible a ser explotada.
Websites utilizing the MetalpriceAPI plugin, particularly those handling sensitive financial data or operating in environments with limited security controls, are at significant risk. Shared hosting environments are especially vulnerable as a single compromised plugin instance can impact multiple websites.
• wordpress / composer / npm:
grep -r "metalpriceapi" /var/www/html/wp-content/plugins/
wp plugin list | grep metalpriceapi• generic web:
curl -I https://example.com/wp-content/plugins/metalpriceapi/ | grep Serverdisclosure
Estado del Exploit
EPSS
0.10% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar MetalpriceAPI a la versión 1.1.5 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar reglas en un Web Application Firewall (WAF) para filtrar entradas sospechosas que podrían ser utilizadas para la inyección de código. Además, revise la configuración de MetalpriceAPI para asegurar que solo se acepten entradas válidas y que se apliquen restricciones de acceso. Después de la actualización, confirme la mitigación revisando los registros del servidor en busca de intentos de explotación y verificando que el código se ejecute correctamente.
Actualice el plugin MetalpriceAPI a la última versión disponible para mitigar la vulnerabilidad de inyección de código. Verifique las actualizaciones del plugin en el repositorio de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como la validación de entradas y la sanitización de datos, para prevenir futuras vulnerabilidades.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48140 is a critical Remote Code Execution vulnerability in the MetalpriceAPI WordPress plugin, allowing attackers to execute arbitrary code.
You are affected if you are using MetalpriceAPI versions 0.0.0 through 1.1.4. Check your plugin versions and upgrade immediately.
Upgrade the MetalpriceAPI plugin to version 1.1.5 or later. Temporarily disable the plugin if upgrading is not immediately possible.
While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of exploitation.
Refer to the MetalpriceAPI project's official website or WordPress plugin repository for the latest advisory and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.