Plataforma
wordpress
Componente
if-as-shortcode
Corregido en
1.2.1
Se ha descubierto una vulnerabilidad de Inyección de Código (Code Injection) en el plugin IF AS Shortcode para WordPress. Esta falla permite la ejecución remota de código (RCE) al permitir la manipulación del código generado. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.2 inclusive. Se recomienda actualizar el plugin a una versión corregida o aplicar medidas de mitigación inmediatas.
La vulnerabilidad de inyección de código en IF AS Shortcode permite a un atacante ejecutar comandos arbitrarios en el servidor web que aloja el sitio WordPress. Esto podría resultar en la toma de control completa del sitio, robo de datos sensibles (como credenciales de usuario, información de clientes, o datos de la base de datos), instalación de malware, o el uso del servidor para lanzar ataques a otros sistemas. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto potencialmente devastador.
La vulnerabilidad CVE-2025-68897 fue publicada el 29 de diciembre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta severidad (CVSS 9.9) indica una alta probabilidad de que sea explotada. Se recomienda monitorear activamente los sistemas afectados y aplicar las mitigaciones necesarias.
Websites using the IF AS Shortcode plugin, particularly those running older, unpatched versions (0.0.0–1.2), are at significant risk. Shared hosting environments are especially vulnerable, as a compromise of one site can potentially impact others on the same server.
• wordpress / composer / npm:
grep -r 'if_as_shortcode' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep if_as_shortcode• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress plugin directory for updates and security advisories related to IF AS Shortcode.
disclosure
Estado del Exploit
EPSS
0.07% (21% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin IF AS Shortcode a una versión corregida tan pronto como esté disponible. Si la actualización no es posible de inmediato, se recomienda deshabilitar el plugin. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para filtrar las solicitudes maliciosas que intentan explotar la vulnerabilidad. Además, revise los logs del servidor en busca de actividad sospechosa relacionada con el plugin. Una vez actualizada, verifique que la vulnerabilidad ha sido resuelta revisando los logs del servidor y realizando pruebas de seguridad básicas.
No se conoce ninguna solución disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68897 is a critical Remote Code Execution vulnerability in the IF AS Shortcode WordPress plugin, allowing attackers to execute arbitrary code.
You are affected if you are using the IF AS Shortcode plugin in WordPress versions 0.0.0 through 1.2. Check your plugin version immediately.
Upgrade the IF AS Shortcode plugin to the latest available version as soon as possible. If upgrading is not immediately possible, disable the plugin.
While no public exploits are currently known, the CRITICAL severity suggests a high probability of exploitation if a proof-of-concept is released.
Check the official IF AS Shortcode plugin page and WordPress.org plugin repository for security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.