Plataforma
wordpress
Componente
youtube-showcase
Corregido en
3.5.2
Se ha identificado una vulnerabilidad de Inyección de Código (Code Injection) en el plugin YouTube Showcase, permitiendo la inyección de objetos. Esta falla afecta a las versiones desde 0.0.0 hasta la 3.5.1, comprometiendo la integridad del sitio web. La vulnerabilidad ha sido publicada el 28 de agosto de 2025 y se recomienda actualizar a la versión 3.5.2 para solucionar el problema.
La inyección de objetos a través de esta vulnerabilidad permite a un atacante ejecutar código arbitrario en el servidor donde está instalado YouTube Showcase. Esto podría resultar en la toma de control completa del sitio web, robo de datos sensibles, modificación de contenido o incluso el uso del servidor para lanzar ataques a otros sistemas. Un atacante podría inyectar código malicioso que se ejecute cada vez que se accede a una página que utiliza YouTube Showcase, lo que amplía significativamente el impacto potencial. La falta de validación adecuada de la entrada del usuario es la causa raíz de esta vulnerabilidad.
La vulnerabilidad CVE-2025-54731 ha sido publicada públicamente el 28 de agosto de 2025. La probabilidad de explotación es considerada media, dado que la inyección de código es una técnica bien conocida y existen herramientas disponibles para automatizar el proceso. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad pública de la información sobre la vulnerabilidad aumenta el riesgo de que sea explotada en el futuro. Se recomienda monitorear los sistemas afectados en busca de signos de compromiso.
WordPress sites utilizing the YouTube Showcase plugin, particularly those running older versions (0.0.0 – 3.5.1), are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable. Sites with weak security configurations or limited monitoring capabilities are particularly susceptible to exploitation.
• wordpress / composer / npm:
grep -r 'emmarket-design/youtube-showcase' /var/www/html/wp-content/plugins/
wp plugin list | grep youtube-showcase• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/youtube-showcase/disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar YouTube Showcase a la versión 3.5.2 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) con reglas que bloqueen la inyección de código en las solicitudes a YouTube Showcase. Además, revise los permisos de archivo y directorio para asegurar que solo los usuarios autorizados tengan acceso de escritura.
Actualice el plugin YouTube Showcase a la última versión disponible para mitigar la vulnerabilidad de inyección de objetos PHP. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-54731 is a HIGH severity Object Injection vulnerability affecting YouTube Showcase WordPress plugin versions 0.0.0–3.5.1, allowing attackers to inject malicious objects.
If you are using YouTube Showcase versions 0.0.0 through 3.5.1, you are affected by this vulnerability. Check your plugin version immediately.
Upgrade the YouTube Showcase plugin to version 3.5.2 or later to resolve this vulnerability. If upgrading is not immediately possible, disable the plugin temporarily.
As of the publication date, there are no confirmed reports of active exploitation, but the potential for RCE warrants immediate action.
Refer to the emarket-design website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.