Plataforma
wordpress
Componente
rehub
Corregido en
19.9.8
La vulnerabilidad CVE-2025-7366 afecta al tema REHub - Price Comparison, Multi Vendor Marketplace para WordPress. Permite la ejecución arbitraria de shortcodes, lo que podría permitir a un atacante no autenticado comprometer el sitio web. Esta vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 19.9.7, y se ha solucionado en la versión 19.9.8.
La ejecución arbitraria de shortcodes es una vulnerabilidad crítica que permite a un atacante inyectar código malicioso en el sitio web. Esto podría resultar en la ejecución de código PHP arbitrario en el servidor, lo que podría llevar al robo de datos sensibles, la modificación del contenido del sitio web, o incluso el control total del servidor. Un atacante podría, por ejemplo, inyectar un shortcode que descargue y ejecute un shell web, permitiéndole ejecutar comandos en el servidor. La falta de validación de los valores antes de ejecutar do_shortcode es la causa principal de esta vulnerabilidad, similar a otras vulnerabilidades de inyección de código en WordPress.
La vulnerabilidad CVE-2025-7366 fue publicada el 6 de septiembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la disponibilidad de la vulnerabilidad y su relativa facilidad de explotación la convierten en un objetivo potencial. Se recomienda monitorear los registros del servidor en busca de actividad sospechosa.
Websites using the REHub WordPress theme, particularly those running versions 0.0.0 through 19.9.7, are at risk. E-commerce sites and those handling sensitive user data are especially vulnerable due to the potential for data theft and manipulation. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/themes/rehub/• wordpress / composer / npm:
wp plugin list | grep rehub• wordpress / composer / npm:
wp theme list | grep rehub• generic web: Check for unusual shortcodes being executed on the website by inspecting the HTML source code and looking for unexpected shortcode tags.
disclosure
Estado del Exploit
EPSS
0.29% (52% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-7366 es actualizar el tema REHub a la versión 19.9.8 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para bloquear solicitudes que contengan shortcodes sospechosos. Además, revise los archivos del tema en busca de posibles inyecciones de shortcode y aplique reglas de seguridad adicionales. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que no se pueden ejecutar shortcodes arbitrarios.
Actualice el tema REHub a la versión 19.9.8 o superior para mitigar la vulnerabilidad de ejecución arbitraria de shortcodes. Esta actualización aborda la falta de validación adecuada de los valores antes de ejecutar la función do_shortcode, previniendo la ejecución no autorizada de shortcodes por parte de atacantes no autenticados.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-7366 is a HIGH severity vulnerability in the REHub WordPress theme allowing unauthenticated attackers to execute arbitrary shortcodes due to insufficient input validation.
You are affected if you are using the REHub WordPress theme versions 0.0.0 through 19.9.7. Upgrade to 19.9.8 or later to mitigate the risk.
Upgrade the REHub WordPress theme to version 19.9.8 or later. If immediate upgrade is not possible, restrict access to the vulnerable shortcode functionality.
There are currently no known active exploits, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the REHub theme developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.