Plataforma
wordpress
Componente
wp-manga-theme-madara
Corregido en
2.2.4
La vulnerabilidad CVE-2025-7712 afecta al plugin Madara - Core para WordPress, permitiendo un acceso arbitrario a archivos. Esta falla se debe a una validación insuficiente de la ruta del archivo en la función wpmangadelete_zip(). Un atacante puede explotar esta vulnerabilidad para eliminar archivos en el servidor, lo que podría resultar en la ejecución remota de código. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.2.3, y se ha solucionado en la versión 2.2.4.
La gravedad de esta vulnerabilidad radica en la posibilidad de ejecución remota de código (RCE). Un atacante, sin necesidad de autenticación, puede eliminar archivos críticos del sistema, como el archivo wp-config.php, que contiene información sensible de la configuración de WordPress. La eliminación de este archivo, o de otros archivos esenciales, puede comprometer la integridad y confidencialidad del sitio web. La capacidad de eliminar archivos arbitrariamente abre la puerta a la inyección de código malicioso, la modificación de la base de datos y el control total del servidor web. Esta vulnerabilidad se asemeja a otros ataques de acceso arbitrario a archivos que han permitido la toma de control de sitios web WordPress en el pasado.
La vulnerabilidad CVE-2025-7712 fue publicada el 17 de julio de 2025. No se ha añadido a KEV en este momento. No se conocen públicamente exploits activos, pero la naturaleza de la vulnerabilidad (acceso arbitrario a archivos) la convierte en un objetivo atractivo para los atacantes. La disponibilidad de un PoC podría aumentar significativamente el riesgo de explotación.
WordPress websites utilizing the Madara - Core plugin, particularly those running versions 0.0.0 through 2.2.3, are at significant risk. Shared hosting environments where file permissions are less restrictive are especially vulnerable, as are websites with outdated or unpatched WordPress installations.
• wordpress / composer / npm:
grep -r 'wp_manga_delete_zip' /var/www/html/wp-content/plugins/madara-core/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/madara-core/ | grep -i '2.2.3' # Check versiondisclosure
Estado del Exploit
EPSS
4.13% (89% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-7712 es actualizar el plugin Madara - Core a la versión 2.2.4 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo. Además, revise los permisos de los archivos y directorios del sitio web para asegurar que solo los usuarios autorizados tengan acceso de escritura. Después de la actualización, verifique que la función wpmangadelete_zip() esté correctamente validada y que los archivos críticos estén protegidos contra eliminación no autorizada.
Actualice el plugin Madara - Core a la versión 2.2.4 o superior para mitigar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la validación de rutas de archivo, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor, como wp-config.php.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-7712 es una vulnerabilidad de Acceso Arbitrario a Archivos en el plugin Madara - Core para WordPress, permitiendo a atacantes no autenticados eliminar archivos y potencialmente ejecutar código.
Si está utilizando el plugin Madara - Core en versiones anteriores a 2.2.4, es vulnerable a esta vulnerabilidad. Actualice a la última versión para mitigar el riesgo.
Actualice el plugin Madara - Core a la versión 2.2.4 o superior. Realice una copia de seguridad antes de actualizar para evitar la pérdida de datos.
Aunque no se han confirmado explotaciones activas, la naturaleza de la vulnerabilidad la convierte en un objetivo potencial para los atacantes. Manténgase alerta y aplique la actualización lo antes posible.
Consulte el sitio web oficial del plugin Madara - Core o el repositorio de WordPress para obtener la información más reciente y las actualizaciones de seguridad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.