Plataforma
wordpress
Componente
ar-for-wordpress
Corregido en
8.34.1
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin AR For WordPress, permitiendo a atacantes subir un Web Shell al servidor web. Esta falla afecta a las versiones desde 0.0.0 hasta la 8.34 inclusive. La actualización a la versión 7.98.1 soluciona esta vulnerabilidad.
La vulnerabilidad CSRF en AR For WordPress permite a un atacante, mediante la manipulación de solicitudes HTTP, subir un Web Shell al servidor. Un Web Shell es un script malicioso que permite a un atacante ejecutar comandos arbitrarios en el servidor web, obteniendo control total sobre el mismo. Esto puede resultar en la exfiltración de datos sensibles, la modificación de archivos, la instalación de malware adicional, o incluso la completa toma de control del servidor. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el alto impacto potencial.
Esta vulnerabilidad fue publicada el 26 de septiembre de 2025. No se ha confirmado la explotación activa en campañas conocidas, pero la alta severidad y la disponibilidad de herramientas para explotar vulnerabilidades CSRF sugieren un riesgo significativo. Se recomienda monitorear la actividad del servidor y aplicar las mitigaciones lo antes posible.
Websites utilizing AR For WordPress, particularly those with limited security controls or shared hosting environments, are at significant risk. Sites with older, unpatched versions of the plugin are especially vulnerable. Administrators who haven't implemented robust CSRF protection measures are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep 'AR For WordPress'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep 'AR For WordPress'• wordpress / composer / npm:
wp plugin path ar-for-wordpressdisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin AR For WordPress a la versión 7.98.1 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas medidas incluyen la restricción de acceso al panel de administración, la implementación de políticas de contraseñas robustas y la monitorización de la actividad del servidor en busca de comportamientos sospechosos. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas de CSRF. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor y verificando la integridad de los archivos del plugin.
Actualice el plugin AR For WordPress a la última versión disponible para mitigar la vulnerabilidad de Cross-Site Request Forgery (CSRF). Verifique las actualizaciones en el repositorio de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como la validación de entradas y la protección CSRF, para fortalecer la seguridad de su sitio web.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-60156 is a critical Cross-Site Request Forgery (CSRF) vulnerability in AR For WordPress allowing attackers to upload web shells, potentially leading to server compromise.
If you are using AR For WordPress versions 0.0.0 through 8.34, you are affected by this vulnerability. Upgrade immediately.
Upgrade AR For WordPress to version 7.98.1 or later to resolve this vulnerability. Consider implementing additional security measures like CSP if immediate upgrade isn't possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's severity and ease of exploitation make it a likely target.
Refer to the official AR For WordPress website or plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.