CVE-2025-9987: Information Disclosure in Broadstreet WordPress Plugin
Plataforma
wordpress
Componente
broadstreet
Corregido en
1.53.2
El plugin Broadstreet para WordPress presenta una vulnerabilidad de Exposición de Información Sensible. Esta falla permite a atacantes autenticados, con privilegios de suscriptor o superiores, extraer datos confidenciales de detalles de negocios protegidos con contraseña y privados. La vulnerabilidad afecta a las versiones 1.0.0 hasta la 1.53.1, inclusive. Se recomienda actualizar a la versión 1.53.2 para mitigar el riesgo.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante que explote esta vulnerabilidad puede acceder a información sensible almacenada en el plugin Broadstreet. Esto incluye detalles de negocios protegidos con contraseña, que podrían contener información financiera, datos de clientes o estrategias comerciales confidenciales. El acceso a esta información podría ser utilizado para fines maliciosos, como robo de identidad, fraude o espionaje industrial. La autenticación con privilegios de suscriptor es relativamente fácil de obtener en muchos sitios WordPress, ampliando el potencial de impacto. La divulgación de información privada podría dañar la reputación de la empresa y generar pérdidas económicas.
Contexto de Explotación
La vulnerabilidad fue publicada el 13 de mayo de 2026. La severidad se evalúa como MEDIA (CVSS 5.3). No se han reportado campañas de explotación activas a la fecha. No se encuentra en KEV (Known Exploited Vulnerabilities) ni se ha asignado un puntaje EPSS. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar posibles explotaciones.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Bajo — acceso parcial o indirecto a algunos datos.
- Integrity
- Ninguno — sin impacto en integridad.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
Mitigación y Workarounds
La mitigación principal para CVE-2025-9987 es actualizar el plugin Broadstreet a la versión 1.53.2 o superior. Si la actualización causa problemas de compatibilidad con otros plugins o el tema de WordPress, considere realizar una copia de seguridad completa del sitio antes de actualizar. Como medida temporal, se puede restringir el acceso al endpoint getsponsoredmeta() a usuarios con roles específicos (administrador) a través de un plugin de seguridad o modificando el código del plugin (con precaución). Verifique que la versión actualizada del plugin no introduzca nuevas vulnerabilidades.
Cómo corregirlo
Actualizar a la versión 1.53.2, o una versión parcheada más reciente
Preguntas frecuentes
What is CVE-2025-9987 — Information Disclosure in Broadstreet WordPress Plugin?
CVE-2025-9987 es una vulnerabilidad de exposición de información sensible en el plugin Broadstreet para WordPress. Permite a atacantes autenticados extraer datos confidenciales de detalles de negocios protegidos con contraseña.
Am I affected by CVE-2025-9987 in Broadstreet WordPress Plugin?
Si está utilizando el plugin Broadstreet para WordPress en versiones 1.0.0 hasta la 1.53.1, inclusive, es vulnerable a esta exposición de información.
How do I fix CVE-2025-9987 in Broadstreet WordPress Plugin?
Actualice el plugin Broadstreet a la versión 1.53.2 o superior. Realice una copia de seguridad antes de actualizar para evitar pérdida de datos.
Is CVE-2025-9987 being actively exploited?
A la fecha, no se han reportado campañas de explotación activas para CVE-2025-9987, pero se recomienda monitorear la situación.
Where can I find the official Broadstreet advisory for CVE-2025-9987?
Consulte el sitio web oficial de Broadstreet o el repositorio de plugins de WordPress para obtener la información más reciente sobre esta vulnerabilidad y la actualización disponible.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...