CVE-2025-9988: Acceso No Autorizado en Broadstreet WordPress
Plataforma
wordpress
Componente
broadstreet
Corregido en
1.53.2
El plugin Broadstreet para WordPress presenta una vulnerabilidad de acceso no autorizado debido a la falta de una verificación de capacidad en la acción AJAX create_advertiser. Esta falla permite a atacantes autenticados, con un nivel de acceso de Suscriptor o superior, crear anunciantes sin la autorización adecuada. Las versiones afectadas son desde la 0 hasta la 1.53.1. La vulnerabilidad fue publicada el 13 de mayo de 2026 y se ha solucionado en la versión 1.53.2.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Esta vulnerabilidad permite a un atacante autenticado, que posea un nivel de acceso de Suscriptor o superior dentro del sitio WordPress, crear anunciantes sin la debida autorización. Esto podría resultar en la creación de anuncios maliciosos, la inyección de contenido no deseado o incluso la toma de control de funcionalidades del sitio web relacionadas con la gestión de anunciantes. El impacto se amplifica si el plugin Broadstreet se utiliza para gestionar publicidad sensible o información crítica, ya que un atacante podría manipular la publicidad para fines maliciosos, como la difusión de malware o la redirección a sitios web fraudulentos. La falta de control sobre la creación de anunciantes compromete la integridad y la seguridad del sitio WordPress.
Contexto de Explotación
La vulnerabilidad CVE-2025-9988 no se encuentra en KEV (Known Exploited Vulnerabilities) al momento de la publicación. La puntuación CVSS de 4.3 (MEDIUM) indica una probabilidad de explotación moderada. No se han reportado públicamente pruebas de concepto (PoCs) activas para esta vulnerabilidad, pero la facilidad de explotación inherente a la falta de verificación de capacidad sugiere que podría ser objeto de explotación en el futuro. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
Mitigación y Workarounds
La mitigación principal para esta vulnerabilidad es actualizar el plugin Broadstreet a la versión 1.53.2 o superior, que incluye la corrección de la verificación de capacidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear las solicitudes AJAX a la acción create_advertiser que provengan de usuarios con privilegios de Suscriptor o inferiores. Además, revise cuidadosamente los permisos de usuario en WordPress para asegurar que solo los usuarios autorizados tengan acceso a la creación de anunciantes.
Cómo corregirlo
Actualizar a la versión 1.53.2, o una versión parcheada más reciente
Preguntas frecuentes
What is CVE-2025-9988 — Acceso No Autorizado en Broadstreet WordPress?
CVE-2025-9988 es una vulnerabilidad de acceso no autorizado en el plugin Broadstreet para WordPress que permite a usuarios con privilegios de Suscriptor o superiores crear anunciantes sin autorización.
Am I affected by CVE-2025-9988 in Broadstreet WordPress?
Si está utilizando el plugin Broadstreet para WordPress en una versión anterior a 1.53.2, es vulnerable a esta vulnerabilidad.
How do I fix CVE-2025-9988 in Broadstreet WordPress?
Actualice el plugin Broadstreet a la versión 1.53.2 o superior para solucionar la vulnerabilidad. Realice una copia de seguridad antes de actualizar.
Is CVE-2025-9988 being actively exploited?
No se han reportado públicamente explotaciones activas, pero la vulnerabilidad es susceptible a explotación debido a la falta de verificación de capacidad.
Where can I find the official Broadstreet advisory for CVE-2025-9988?
Consulte el sitio web oficial de Broadstreet o el repositorio de plugins de WordPress para obtener la información más reciente sobre esta vulnerabilidad y la actualización disponible.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...