Plataforma
wordpress
Componente
kalium
Corregido en
3.25.1
Se ha identificado una vulnerabilidad de inyección de código en el plugin Kalium para WordPress. Esta falla, clasificada como de alta severidad (CVSS 7.2), permite a un atacante inyectar código malicioso en el sistema. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 3.25, y se ha proporcionado una actualización a la versión 3.25.1 para solucionar el problema.
La inyección de código en Kalium permite a un atacante ejecutar código arbitrario en el servidor donde está instalado el plugin. Esto podría resultar en la toma de control completa del sitio web, el robo de datos sensibles (como información de usuarios, contraseñas y datos de comercio electrónico), la modificación del contenido del sitio y el uso del sitio para distribuir malware. Un atacante podría, por ejemplo, inyectar código PHP para crear una puerta trasera persistente que le permita acceder al sitio web incluso después de que se haya solucionado la vulnerabilidad inicial. La naturaleza de Kalium como plugin popular para WordPress amplía el potencial de impacto, afectando a un gran número de sitios web.
La vulnerabilidad CVE-2025-49926 fue publicada el 22 de octubre de 2025. No se ha reportado su inclusión en el KEV de CISA al momento de esta redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la inyección de código la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada con esta vulnerabilidad.
Websites using the Kalium WordPress plugin, particularly those running older versions (0.0.0–3.25), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "kalium" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep kalium• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/kalium/readme.txt | grep Versiondisclosure
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Kalium a la versión 3.25.1 o superior. Si la actualización causa problemas de compatibilidad con otros plugins o el tema de WordPress, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se recomienda deshabilitar el plugin Kalium hasta que se pueda realizar la actualización. Si no es posible actualizar inmediatamente, implemente reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan código potencialmente malicioso. Monitoree los registros del servidor en busca de actividad sospechosa, como la ejecución de comandos inusuales o la modificación de archivos del sistema.
Actualice el tema Kalium a la última versión disponible para solucionar la vulnerabilidad de inyección de código. Verifique la página de Themeforest o el repositorio del tema para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de actualizar cualquier tema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49926 is a Code Injection vulnerability affecting the Laborator Kalium WordPress plugin, allowing attackers to execute arbitrary code. It impacts versions 0.0.0–3.25 and has a CVSS score of 7.2 (HIGH).
You are affected if you are using the Kalium WordPress plugin in versions 0.0.0 through 3.25. Check your plugin version and upgrade immediately if necessary.
Upgrade the Kalium plugin to version 3.25.1 or later to resolve the vulnerability. If upgrading is not possible, temporarily disable the plugin.
As of now, there is no evidence of active exploitation campaigns targeting CVE-2025-49926, but it's crucial to apply the patch promptly.
Refer to the Laborator Kalium plugin updates page and WordPress plugin repository for the latest information and advisory regarding CVE-2025-49926.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.