Plataforma
wordpress
Componente
soledad
Corregido en
8.6.8
El tema Soledad para WordPress presenta una vulnerabilidad de ejecución arbitraria de shortcodes en versiones hasta la 8.6.7. Esta falla se debe a una validación insuficiente de los valores antes de ejecutar la función do_shortcode, permitiendo a atacantes no autenticados inyectar y ejecutar shortcodes maliciosos. La explotación exitosa de esta vulnerabilidad puede resultar en la toma de control del sitio web WordPress.
Un atacante puede aprovechar esta vulnerabilidad para ejecutar código PHP arbitrario a través de shortcodes maliciosos. Esto podría permitir la modificación de contenido, la inyección de código malicioso, la creación de cuentas de administrador no autorizadas, o incluso la toma completa del control del sitio web. La severidad de este impacto se agrava por la popularidad del tema Soledad, lo que significa que un gran número de sitios web podrían ser vulnerables. La ejecución de shortcodes arbitrarios puede llevar a la exfiltración de datos sensibles, defacement del sitio web, o su uso como punto de partida para ataques a otros sistemas en la red.
Esta vulnerabilidad ha sido publicada públicamente el 16 de agosto de 2025. No se ha reportado su inclusión en el KEV de CISA, ni se han identificado campañas de explotación activas. La disponibilidad de un PoC público podría facilitar la explotación por parte de atacantes con conocimientos técnicos limitados.
Websites using the Soledad WordPress theme, particularly those running versions 0.0.0 through 8.6.7, are at risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak security configurations or outdated WordPress installations are also at increased risk.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/themes/soledad/• wordpress / composer / npm:
wp plugin list | grep soledad• wordpress / composer / npm:
wp theme list | grep soledaddisclosure
Estado del Exploit
EPSS
0.43% (62% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el tema Soledad a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se puede implementar un filtro en el archivo functions.php del tema para restringir los shortcodes permitidos, aunque esto puede afectar la funcionalidad del tema. Verifique que los plugins instalados no introduzcan nuevas vulnerabilidades.
Actualice el tema Soledad a la última versión disponible (posterior a 8.6.7) para mitigar la vulnerabilidad de ejecución arbitraria de shortcodes. Verifique el changelog del tema en el sitio web del desarrollador para obtener instrucciones específicas de actualización. Considere utilizar un plugin de seguridad de WordPress para ayudar a detectar y prevenir exploits.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-8105 is a high-severity vulnerability in the Soledad WordPress theme allowing unauthenticated attackers to execute arbitrary shortcodes due to insufficient input validation.
If you are using the Soledad WordPress theme version 0.0.0 through 8.6.7, you are potentially affected by this vulnerability. Upgrade immediately.
Upgrade to the latest patched version of the Soledad WordPress theme. If upgrading is not immediately possible, consider temporarily disabling shortcode functionality.
While no widespread exploitation has been confirmed, the ease of exploitation suggests a potential for active campaigns. Monitor your WordPress site closely.
Refer to the official Soledad theme developer's website or WordPress plugin repository for the latest advisory and patch information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.