Plataforma
wordpress
Componente
support-board
Corregido en
3.8.1
La vulnerabilidad CVE-2025-4828 afecta al plugin Support Board para WordPress, permitiendo el acceso arbitrario de archivos debido a una validación insuficiente de la ruta del archivo en la función sbfiledelete. Esta falla permite a los atacantes eliminar archivos en el servidor, lo que puede conducir a la ejecución remota de código (RCE) si se elimina un archivo crítico como wp-config.php. La vulnerabilidad afecta a todas las versiones hasta la 3.8.0, y se recomienda actualizar a la versión corregida lo antes posible.
La gravedad de esta vulnerabilidad radica en su potencial para la ejecución remota de código. Un atacante puede aprovechar esta falla para eliminar archivos esenciales del sistema, como wp-config.php, que contiene información de configuración sensible, incluyendo las credenciales de la base de datos. La eliminación de este archivo puede comprometer completamente el sitio web, permitiendo al atacante tomar control total del servidor. Además, la descripción indica que esta vulnerabilidad puede ser explotada en conjunto con CVE-2025-4855, lo que amplía el rango de posibles ataques y aumenta el riesgo para los usuarios de WordPress.
La vulnerabilidad fue publicada el 8 de julio de 2025. Se desconoce si esta vulnerabilidad está siendo activamente explotada en la naturaleza, pero su alta puntuación CVSS (9.8) indica un riesgo significativo. La posibilidad de explotación en conjunto con CVE-2025-4855 aumenta la probabilidad de que sea objeto de ataques. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
WordPress websites using the Support Board plugin, particularly those with shared hosting environments or legacy configurations, are at significant risk. Sites with weak file permissions or inadequate security plugins are especially vulnerable. Any site relying on the Support Board plugin for file management or user support features should be considered at risk.
• wordpress / plugin: Use wp-cli plugin update --all to check for available updates.
• wordpress / plugin: Search plugin files for the sbfiledelete function and look for any instances of unsanitized user input being used in file path construction.
grep -r 'sb_file_delete' /var/www/wordpress/wp-content/plugins/support-board/• generic web: Monitor web server access logs for requests containing suspicious file paths or deletion attempts, especially those targeting files within the WordPress plugin directory. • generic web: Check WordPress plugin directory permissions to ensure they are restricted to the WordPress user account.
disclosure
Estado del Exploit
EPSS
2.84% (86% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Support Board a la versión corregida, que aún no ha sido publicada. Mientras tanto, se pueden implementar medidas de seguridad adicionales. Restrinja los permisos de escritura en el directorio del plugin para evitar la eliminación de archivos. Implemente reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas que intenten acceder o modificar archivos sensibles. Revise los logs del servidor en busca de actividad inusual, como intentos de eliminación de archivos. Si la actualización del plugin no es posible de inmediato, considere deshabilitar temporalmente el plugin hasta que se pueda aplicar la actualización.
Actualice el plugin Support Board a la última versión disponible. Verifique la página del repositorio del plugin en WordPress.org o el sitio web del desarrollador para obtener instrucciones de actualización específicas. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-4828 es una vulnerabilidad de Acceso Arbitrario de Archivos en el plugin Support Board para WordPress que permite a los atacantes eliminar archivos, potencialmente llevando a la ejecución remota de código.
Si está utilizando el plugin Support Board para WordPress en versiones 0.0.0–3.8.0, es vulnerable a esta falla. Actualice a la versión corregida lo antes posible.
La solución es actualizar el plugin Support Board a la versión corregida. Mientras tanto, implemente medidas de mitigación como restringir permisos de escritura y configurar un WAF.
Se desconoce si esta vulnerabilidad está siendo activamente explotada, pero su alta puntuación CVSS indica un riesgo significativo. Monitoree las fuentes de inteligencia de amenazas.
Consulte el sitio web de WordPress y el repositorio del plugin Support Board para obtener información oficial y actualizaciones sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.