Plataforma
wordpress
Componente
wing-migrator
Corregido en
1.2.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WING WordPress Migrator, afectando versiones desde 0.0.0 hasta la 1.2.0. Esta falla permite a un atacante, mediante la manipulación de solicitudes, subir un Web Shell al servidor web, comprometiendo la integridad y confidencialidad de los datos. La versión 2.0.0 corrige esta vulnerabilidad y se recomienda su implementación inmediata.
La vulnerabilidad CSRF en WING WordPress Migrator permite a un atacante, sin necesidad de autenticación, ejecutar acciones en nombre de un usuario autenticado. En este caso específico, la explotación exitosa de esta vulnerabilidad permite la subida de un Web Shell, un script malicioso que proporciona al atacante acceso remoto al servidor web. Esto puede resultar en la exfiltración de datos sensibles, la modificación de contenido del sitio web, la instalación de malware adicional, o incluso el control completo del servidor. La severidad CRÍTICA del CVSS indica un alto riesgo de explotación y un impacto significativo en la seguridad de la infraestructura.
La vulnerabilidad CVE-2025-52835 fue publicada el 30 de diciembre de 2025. No se ha reportado explotación activa a la fecha. No se encuentra listada en el KEV de CISA. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WING WordPress Migrator a la versión 2.0.0 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la restricción de acceso al panel de administración del WordPress, la implementación de políticas de contraseñas robustas y la monitorización de la actividad del sitio web en busca de comportamientos sospechosos. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes CSRF maliciosas.
Actualizar a la versión 2.0.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-52835 is a critical Cross-Site Request Forgery (CSRF) vulnerability in the WING WordPress Migrator plugin, allowing attackers to upload web shells and potentially gain full control of a WordPress site.
You are affected if you are using WING WordPress Migrator versions 0.0.0 through 1.2.0. Check your plugin version immediately and upgrade if necessary.
Upgrade the WING WordPress Migrator plugin to version 2.0.0 or later. If immediate upgrade isn't possible, disable the plugin temporarily.
While there's no confirmed active exploitation currently, the vulnerability's severity and ease of exploitation suggest it's likely to be targeted soon.
Refer to the ConoHa by GMO WING website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-52835.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.