Plataforma
wordpress
Componente
custom-login-and-signup-widget
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Inyección de Código (Code Injection) en el plugin Custom Login And Signup Widget. Esta falla permite a un atacante inyectar y ejecutar código malicioso en el sistema. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.0, y se recomienda actualizar a la versión 1.0.1 para solucionar el problema.
La vulnerabilidad de Inyección de Código en Custom Login And Signup Widget representa un riesgo significativo para la seguridad de los sitios web WordPress que lo utilizan. Un atacante podría aprovechar esta falla para ejecutar código arbitrario en el servidor, comprometiendo la integridad y confidencialidad de los datos. Esto podría incluir la modificación de archivos del sitio, la inyección de malware, el robo de información sensible (como credenciales de usuario) y el control total del sitio web. La capacidad de ejecutar código arbitrario otorga al atacante un control casi ilimitado sobre el entorno WordPress, permitiendo acciones como la creación de cuentas de administrador maliciosas o la redirección de tráfico a sitios web maliciosos. La severidad CRÍTICA del CVSS indica que la explotación de esta vulnerabilidad podría tener consecuencias devastadoras.
La vulnerabilidad CVE-2025-49029 fue publicada el 2025-07-01. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.1) indica un alto riesgo. Es recomendable monitorear los sistemas afectados para detectar cualquier actividad sospechosa. No se ha añadido a KEV al momento de esta redacción.
WordPress websites utilizing the Custom Login And Signup Widget plugin, particularly those running older, unpatched versions (0.0.0–1.0). Shared hosting environments are at increased risk due to the potential for cross-site contamination if one site is compromised.
• wordpress / composer / npm:
grep -r "bitto.kazi/custom-login-and-signup-widget" * | grep -i "version 1.0" # Check for vulnerable versions
wp plugin list | grep "Custom Login And Signup Widget"• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/custom-login-and-signup-widget/ | grep -i "version"disclosure
Estado del Exploit
EPSS
0.30% (53% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-49029 es actualizar el plugin Custom Login And Signup Widget a la versión 1.0.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas que intenten explotar la vulnerabilidad. Además, revise los archivos del plugin en busca de código malicioso inyectado. Después de la actualización, verifique la integridad del sitio web y los archivos del plugin para confirmar que la vulnerabilidad ha sido resuelta.
Actualice el plugin Custom Login And Signup Widget a la última versión disponible para mitigar la vulnerabilidad de inyección de código. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Considere deshabilitar o eliminar el plugin si no es esencial.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49029 is a critical vulnerability allowing attackers to inject code into the Custom Login And Signup Widget WordPress plugin, potentially leading to full system compromise.
You are affected if you are using Custom Login And Signup Widget versions 0.0.0 through 1.0. Check your plugin versions immediately.
Upgrade the plugin to version 1.0.1 or later to resolve the vulnerability. If upgrading is not possible, temporarily disable the plugin.
While no public exploits are currently available, the vulnerability's severity suggests it is likely to be targeted. Monitor security advisories.
Refer to the plugin developer's website or WordPress plugin repository for the latest advisory and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.