Plataforma
wordpress
Componente
nelio-ab-testing
Corregido en
8.1.9
Se ha identificado una vulnerabilidad de inyección de código (Code Injection) en el plugin Nelio AB Testing, afectando versiones desde 0.0.0 hasta la 8.1.8. Esta falla permite a un atacante inyectar código malicioso en el sistema, comprometiendo la seguridad del sitio web. La vulnerabilidad ha sido publicada el 22 de enero de 2026 y se recomienda actualizar a la versión 8.2.0 para solucionar el problema.
La vulnerabilidad de inyección de código en Nelio AB Testing permite a un atacante ejecutar código arbitrario en el servidor donde se aloja el sitio WordPress. Esto significa que el atacante podría obtener acceso no autorizado a datos sensibles, modificar el contenido del sitio web, instalar malware o incluso tomar el control completo del servidor. El impacto es crítico, ya que un atacante podría comprometer la confidencialidad, integridad y disponibilidad del sitio web y sus datos. La ejecución de código arbitrario podría llevar a la exfiltración de información de usuarios, la manipulación de datos críticos del negocio, o la interrupción completa de los servicios ofrecidos por el sitio web. Esta vulnerabilidad es particularmente peligrosa debido a su alta puntuación CVSS y la posibilidad de ejecución remota de código.
La vulnerabilidad CVE-2025-67944 ha sido publicada recientemente y su estado de explotación activa es desconocido. No se ha añadido a la lista KEV de CISA ni se ha reportado un EPSS score. Es importante monitorear la situación y estar atento a la publicación de pruebas de concepto (PoCs) públicas. Consulte la página del proveedor Nelio Software para obtener información adicional y actualizaciones sobre la vulnerabilidad.
WordPress websites utilizing the Nelio AB Testing plugin, particularly those running older versions (0.0.0–8.1.8), are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the update. Sites with limited security monitoring or input validation practices are especially susceptible.
• wordpress / composer / npm:
grep -r 'nelio-ab-testing' /var/www/html/wp-content/plugins/
wp plugin list | grep nelio-ab-testing• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/nelio-ab-testing/disclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-67944 es actualizar el plugin Nelio AB Testing a la versión 8.2.0 o superior. Si la actualización causa problemas de compatibilidad con otros plugins o temas, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan código malicioso. Además, revise los logs del servidor en busca de actividad sospechosa relacionada con la inyección de código. Después de la actualización, verifique la integridad del plugin y la ausencia de código malicioso mediante una auditoría de seguridad.
Actualizar a la versión 8.2.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-67944 is a critical code injection vulnerability affecting Nelio AB Testing WordPress plugin versions 0.0.0–8.1.8, allowing attackers to execute arbitrary code.
Yes, if you are using Nelio AB Testing version 0.0.0 through 8.1.8, you are vulnerable to this code injection flaw.
Upgrade Nelio AB Testing to version 8.2.0 or later to patch the vulnerability. If immediate upgrade is not possible, temporarily disable the plugin.
As of the disclosure date, there are no confirmed reports of active exploitation, but the CRITICAL severity warrants immediate action.
Refer to the Nelio Software website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.