Plataforma
wordpress
Componente
advanced-custom-post-type
Corregido en
2.0.48
El plugin advanced-custom-post-type para WordPress presenta una vulnerabilidad de Ejecución Remota de Código (RCE). Esta falla permite a atacantes no autenticados ejecutar código malicioso directamente en el servidor donde está alojado el sitio web. La vulnerabilidad afecta a todas las versiones del plugin hasta la 2.0.47 inclusive. Se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
La ejecución remota de código representa un riesgo crítico para la seguridad de un sitio web WordPress. Un atacante que explote esta vulnerabilidad puede tomar el control total del servidor, comprometiendo todos los datos almacenados, incluyendo información confidencial de usuarios, bases de datos y archivos del sistema. El atacante podría instalar malware, modificar el contenido del sitio web, redirigir a los usuarios a sitios maliciosos o utilizar el servidor como punto de partida para ataques a otros sistemas en la red. Esta vulnerabilidad es particularmente peligrosa debido a su facilidad de explotación y el alto impacto potencial, similar a otras vulnerabilidades RCE que han afectado a plugins populares de WordPress.
El CVE-2026-25470 fue publicado el 16 de marzo de 2026. Actualmente no se conoce si esta vulnerabilidad ha sido activamente explotada en la naturaleza, pero la alta severidad (CVSS 9.8) indica una alta probabilidad de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa relacionada con esta vulnerabilidad. No se ha añadido a KEV al momento de esta redacción.
Websites using the Advanced Custom Post Type plugin, particularly those running older, unpatched versions (≤2.0.47), are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and security configurations. Sites with weak WordPress security practices, such as default user credentials or outdated WordPress core versions, are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep advanced-custom-post-type• wordpress / composer / npm:
wp plugin update advanced-custom-post-type --all• wordpress / composer / npm:
grep -r 'advanced-custom-post-type' /var/log/apache2/access.log | grep -i 'POST'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=advanced_custom_post_type_some_vulnerable_functiondisclosure
Estado del Exploit
Vector CVSS
La mitigación principal es actualizar el plugin advanced-custom-post-type a la última versión disponible, que corrige la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la restricción del acceso al archivo vulnerable a través de reglas de firewall o WAF (Web Application Firewall), así como la monitorización de los logs del servidor en busca de actividad sospechosa. Además, se puede considerar la implementación de un sistema de detección de intrusiones (IDS) para identificar y bloquear intentos de explotación. Después de la actualización, confirme la mitigación verificando que el archivo vulnerable ya no sea accesible y que el plugin se ejecuta correctamente.
No hay un parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25470 is a critical Remote Code Execution vulnerability affecting the Advanced Custom Post Type plugin for WordPress versions up to 2.0.47, allowing attackers to execute code on the server.
You are affected if you are using the Advanced Custom Post Type plugin version 2.0.47 or earlier. Check your plugin version and update immediately.
Upgrade the Advanced Custom Post Type plugin to the latest available version, which contains the fix for this vulnerability. If upgrading is not possible, disable the plugin temporarily.
While no confirmed exploitation has been publicly reported, the CRITICAL severity and ease of exploitation suggest a high probability of exploitation. Monitor your systems closely.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and updated version.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.