Plataforma
wordpress
Componente
woodmart
Corregido en
8.2.4
CVE-2025-6744 describe una vulnerabilidad de ejecución arbitraria de shortcodes en el tema Woodmart para WordPress. Esta falla permite a atacantes no autenticados inyectar y ejecutar código malicioso a través de la función woodmartgetproducts_shortcode(), comprometiendo la seguridad del sitio web. Las versiones afectadas son desde la 0.0.0 hasta la 8.2.3. Se recomienda actualizar a la versión 8.2.4 para solucionar la vulnerabilidad.
La ejecución arbitraria de shortcodes en Woodmart representa un riesgo significativo para la seguridad de los sitios web WordPress que utilizan este tema. Un atacante puede explotar esta vulnerabilidad para ejecutar código PHP arbitrario en el servidor, lo que le permite tomar el control total del sitio web. Esto podría incluir la modificación de contenido, la inyección de malware, el robo de datos sensibles, o incluso el uso del servidor para lanzar ataques a otros sistemas. La falta de autenticación necesaria para explotar la vulnerabilidad amplía el alcance del riesgo, ya que cualquier usuario externo puede potencialmente comprometer el sitio. La vulnerabilidad se asemeja a otras ejecuciones de código arbitrarias en temas de WordPress, donde la falta de validación de entradas permite la inyección de código malicioso.
CVE-2025-6744 fue publicado el 8 de julio de 2025. No se ha añadido a la lista KEV de CISA ni se ha reportado un EPSS score. Actualmente no se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad (ejecución arbitraria de código) sugiere un riesgo potencial de explotación en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Websites using the Woodmart theme, particularly those running older versions (0.0.0 – 8.2.3), are at risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites relying on the Woodmart theme for critical functionality or e-commerce operations face the highest risk.
• wordpress / composer / npm:
grep -r 'woodmart_get_products_shortcode' /var/www/html/wp-content/themes/woodmart/• wordpress / composer / npm:
wp plugin list | grep woodmart• wordpress / composer / npm:
wp plugin update woodmart --alldisclosure
Estado del Exploit
EPSS
0.47% (64% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-6744 es actualizar el tema Woodmart a la versión 8.2.4 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad temporales. Estas pueden incluir la restricción del acceso a la función woodmartgetproducts_shortcode() mediante un plugin de seguridad o la implementación de reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas. Además, es crucial revisar y auditar el código del tema en busca de posibles vulnerabilidades adicionales. Después de la actualización, confirme la corrección revisando los logs del servidor en busca de intentos de explotación y verificando la integridad de los archivos del tema.
Actualice el tema Woodmart a la versión 8.2.4 o superior para mitigar la vulnerabilidad de ejecución arbitraria de shortcodes. Esta actualización corrige la validación incorrecta de los valores antes de ejecutar la función `woodmart_get_products_shortcode()`, previniendo la ejecución no autorizada de shortcodes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-6744 is a HIGH severity vulnerability allowing unauthenticated attackers to execute arbitrary shortcodes in Woodmart WordPress themes versions 0.0.0–8.2.3 due to improper input validation.
If you are using Woodmart WordPress theme versions 0.0.0 through 8.2.3, you are potentially affected by this vulnerability. Check your theme version immediately.
Upgrade the Woodmart WordPress theme to version 8.2.4 or later to remediate the vulnerability. If immediate upgrade is not possible, consider temporary restrictions on shortcode execution.
While no public exploits are currently known, the ease of exploitation suggests a high likelihood of exploitation if left unpatched. Monitor your website for suspicious activity.
Refer to the official Woodmart theme website or WordPress plugin repository for the latest advisory and update information regarding CVE-2025-6744.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.