Plataforma
wordpress
Componente
lisfinity-core
Corregido en
1.4.1
El plugin Lisfinity Core, utilizado con el tema pebas® Lisfinity para WordPress, presenta una vulnerabilidad de elevación de privilegios. Esta falla permite a usuarios no administradores obtener privilegios de editor por defecto, lo que, combinado con otras vulnerabilidades como CVE-2025-6038, podría resultar en la escalada a privilegios de administrador. La vulnerabilidad afecta a las versiones 1.0.0 hasta la 1.4.0, y se recomienda actualizar a la versión corregida o aplicar medidas de mitigación.
La vulnerabilidad de elevación de privilegios en Lisfinity Core permite a un atacante, inicialmente con un rol de usuario estándar, obtener privilegios de editor. Aunque existen algunas limitaciones en las capacidades del rol de editor, la falta de restricciones en el uso de la API facilita la escalada de privilegios. En combinación con CVE-2025-6038, un atacante podría explotar esta vulnerabilidad para obtener control administrativo completo sobre el sitio WordPress. Esto podría resultar en la modificación o eliminación de contenido, la instalación de software malicioso, el acceso a datos confidenciales de usuarios y la toma del control total del servidor web. La falta de autenticación adecuada para ciertas funciones expone el sitio a un riesgo significativo.
La vulnerabilidad CVE-2025-6042 fue publicada el 15 de octubre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en la naturaleza, pero la combinación con CVE-2025-6038 aumenta el riesgo. Se recomienda monitorear los sistemas WordPress que utilicen el plugin Lisfinity Core para detectar cualquier actividad sospechosa. La disponibilidad de un PoC público podría acelerar la explotación de esta vulnerabilidad.
WordPress sites using the pebas® Lisfinity theme and relying on the Lisfinity Core plugin are at risk. Specifically, sites with default WordPress configurations or those that have not regularly updated their plugins are particularly vulnerable. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk.
• wordpress: Use wp-cli plugin list to identify installations of the Lisfinity Core plugin.
wp plugin list --status=active | grep Lisfinity• wordpress: Check the plugin version using wp plugin list and compare against affected versions (1.0.0–1.4.0).
wp plugin list• wordpress: Examine WordPress access logs for unusual API requests targeting the Lisfinity Core plugin. Look for patterns indicative of privilege escalation attempts.
• generic web: Monitor response headers for unexpected changes or unauthorized access attempts.
• generic web: Use curl to test API endpoints exposed by the plugin, looking for vulnerabilities related to privilege escalation.
Public Disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-6042 es actualizar el plugin Lisfinity Core a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible debido a problemas de compatibilidad, se recomienda restringir el acceso a la API del plugin, limitando las funciones disponibles para usuarios no administradores. Además, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas que intenten explotar la vulnerabilidad. Es crucial revisar y fortalecer las políticas de permisos de usuario en WordPress, asegurando que solo los usuarios autorizados tengan acceso a funciones administrativas.
Actualice el plugin Lisfinity Core a una versión corregida. La vulnerabilidad permite la escalada de privilegios asignando el rol de editor por defecto. Verifique las actualizaciones disponibles en el repositorio de WordPress o contacte al desarrollador para obtener una versión corregida.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-6042 is a privilege escalation vulnerability affecting the Lisfinity Core plugin for WordPress, allowing potential admin access due to default editor role assignment and unrestricted API access.
You are affected if your WordPress site uses the Lisfinity Core plugin in versions 1.0.0 through 1.4.0. Check your plugin versions immediately.
Upgrade the Lisfinity Core plugin to the latest available version as soon as a patch is released. Until then, restrict API access for editor roles.
The vulnerability has been publicly disclosed, and the potential for exploitation is considered medium. Monitor security advisories for confirmed exploitation.
Refer to the Lisfinity website and WordPress plugin repository for official advisories and updates regarding CVE-2025-6042.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.