Plataforma
wordpress
Componente
truelysell-core
Corregido en
1.8.8
La vulnerabilidad CVE-2025-8572 afecta al plugin Truelysell Core para WordPress en versiones 0 hasta 1.8.7. Se trata de una elevación de privilegios causada por una validación insuficiente del parámetro user_role durante el registro de usuarios. Esta falla permite a atacantes no autenticados obtener acceso administrativo, comprometiendo la seguridad del sitio web. La versión 1.8.8 corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad para crear una cuenta de usuario con privilegios de administrador sin necesidad de autenticación previa. Esto le otorga control total sobre el sitio web WordPress, incluyendo la capacidad de modificar contenido, instalar plugins maliciosos, acceder a datos confidenciales de usuarios y realizar otras acciones dañinas. La falta de autenticación necesaria para la escalada de privilegios amplía significativamente el radio de impacto, ya que cualquier persona puede potencialmente comprometer el sitio. La gravedad de esta vulnerabilidad se asemeja a otras fallas de escalada de privilegios que han afectado a plugins populares de WordPress, permitiendo el control completo del sitio.
La vulnerabilidad fue publicada el 14 de febrero de 2026. La probabilidad de explotación se considera alta (EPSS: High) debido a la facilidad de explotación y la falta de autenticación requerida. No se han reportado campañas activas conocidas, pero la disponibilidad de la vulnerabilidad en un plugin popular de WordPress la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear los registros del sitio web y aplicar las mitigaciones lo antes posible.
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Truelysell Core a la versión 1.8.8 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan el parámetro user_role con valores inesperados. Además, revise los registros del sitio web en busca de intentos de creación de usuarios con roles inusuales. Después de la actualización, verifique que el registro de usuarios requiera autenticación y que los roles de usuario se asignen correctamente.
Actualizar a la versión 1.8.8, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-8572 is a critical vulnerability in the Truelysell Core WordPress plugin allowing unauthenticated attackers to gain administrator access due to insufficient user role validation during registration.
Yes, if you are using Truelysell Core plugin versions 0 through 1.8.7, you are vulnerable to this privilege escalation attack.
Upgrade the Truelysell Core plugin to version 1.8.8 or later to resolve this vulnerability. If immediate upgrade is not possible, disable user registration temporarily.
While no widespread exploitation has been publicly reported, the ease of exploitation suggests a high probability of future attacks. Continuous monitoring is recommended.
Refer to the Truelysell Core plugin website or WordPress plugin repository for the official security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.