Plataforma
wordpress
Componente
code-engine
Corregido en
0.3.4
Se ha identificado una vulnerabilidad de Ejecución Remota de Código (RCE) en Code Engine, una herramienta para WordPress. Esta falla, clasificada como crítica, permite la Inclusión Remota de Código (RCI), lo que podría permitir a un atacante ejecutar código malicioso en el sistema. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 0.3.3, y se recomienda actualizar a la versión 0.3.4 para solucionar el problema.
La vulnerabilidad de RCE en Code Engine representa un riesgo significativo para los sitios web que utilizan esta herramienta. Un atacante podría explotar esta falla para incluir archivos arbitrarios en el proceso de ejecución, lo que les permitiría ejecutar código malicioso en el servidor. Esto podría resultar en la toma de control completa del sitio web, el robo de datos confidenciales, la modificación del contenido o el uso del servidor para lanzar ataques a otros sistemas. La Inclusión Remota de Código es una técnica de ataque bien conocida que puede tener consecuencias devastadoras si no se aborda adecuadamente.
La vulnerabilidad CVE-2025-48169 se publicó el 20 de agosto de 2025. No se ha añadido a la lista KEV de CISA, ni se ha reportado explotación activa. La existencia de una vulnerabilidad de RCI con una puntuación CVSS de 9.9 indica una alta probabilidad de explotación si se vuelve públicamente disponible y se desarrollan pruebas de concepto (PoC).
WordPress websites utilizing the Jordy Meow Code Engine plugin, particularly those running versions 0.0.0 through 0.3.3, are at significant risk. Shared hosting environments where users have limited control over plugin configurations are especially vulnerable, as are sites with outdated or unpatched WordPress installations.
• wordpress / composer / npm:
grep -r 'include($_GET['code']);' /var/www/html/wp-content/plugins/code-engine/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/code-engine/?code=system('id')• wordpress / composer / npm:
wp plugin list --status=inactive• wordpress / composer / npm:
wp plugin update code-enginedisclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Code Engine a la versión 0.3.4 o superior, donde se ha solucionado el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al archivo de configuración de Code Engine y monitorear los registros del servidor en busca de actividad sospechosa. Además, se pueden configurar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten incluir archivos externos. Después de la actualización, confirme la mitigación revisando los registros del servidor y realizando pruebas de penetración básicas.
Actualice el plugin Code Engine a la última versión disponible para mitigar la vulnerabilidad de ejecución remota de código. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Considere deshabilitar o eliminar el plugin si no es esencial para su sitio web.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48169 is a critical Remote Code Execution vulnerability in Jordy Meow Code Engine affecting versions 0.0.0 through 0.3.3, allowing attackers to execute arbitrary code.
You are affected if you are using Jordy Meow Code Engine versions 0.0.0 to 0.3.3. Check your plugin version and upgrade immediately.
Upgrade Jordy Meow Code Engine to version 0.3.4 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file uploads and using a WAF.
Active exploitation is not yet confirmed, but the high CVSS score warrants close monitoring and proactive mitigation.
Refer to the Jordy Meow Code Engine project's official website or repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.