La comunitat de WordPress torna a encendre les alarmes per dues vulnerabilitats en complements à mpliament utilitzats que poden posar en perill la seguretat de milers de llocs. Un dels errors afecta el plugin Anti-Malware Security and Brute-Force Firewall; l'altre, al popular paquet King Addons per a Elementor.
En ambdós casos, les actualitzacions ja estan disponibles i els experts recomanen instal·lar-les sense demora. L'impacte és diferent a cada plugin, però comparteix un denominador comú: els atacants podrien obtenir accés indegut a recursos del servidor o prendre el control del lloc si no s'apliquen els pegats.
Anti-Malware Security and Brute‑Force Firewall: lectura d'arxius (CVE‑2025‑11705)
El plugin de seguretat Anti‑Malware, amb més de 100.000 instal·lacions, arrossega una fallada rastrejada com CVE-2025-11705 que permet a un usuari autenticat, fins i tot amb perfil de subscriptor, llegir fitxers del servidor. L'arrel del problema és a la funció interna GOTMLS_ajax_scan(), on faltava una verificació de capacitats adequada en processar peticions AJAX.
La vulnerabilitat va ser identificada per l?investigador Dmitrii Ignatyev i comunicada a Wordfence Threat Intelligence. A causa de la gestió del token (nonce) ia la absència de control de permisos, qualsevol compte amb inici de sessió và lid podia invocar l'escaneig i accedir a continguts sensibles.
Entre els objectius més sucosos hi ha wp-config.php, fitxer que emmagatzema credencials de base de dades i claus d'autenticació. Amb aquesta informació, un atacant podria avançar cap a accions com exfiltrar dades, manipular continguts o intentar nous moviments dins de la mateixa infraestructura.
El desenvolupador del plugin, conegut com Eli, va llançar la versió corregida 4.23.83, on s'afegeix la funció GOTMLS_kill_invalid_user() per verificar capacitats abans d'atendre sol·licituds. Wordfence va indicar que, de moment, no s'han observat atacs actius, però la publicació de la decisió incrementa el risc dexplotació si no sactualitza.
- 14 d'octubre: notificació al desenvolupador mitjançant l'equip de seguretat de WordPress.org.
- 15 d'octubre: publicació de la versió 4.23.83 amb controls de capacitat reforçats.
- Descà rregues del pegat: unes 50.000 instal·lacions actualitzades; un volum semblant podria seguir exposat si no aplica la correcció.
El vector d'atac és especialment rellevant a llocs amb registre d'usuaris obert (fòrums, membres, butlletins, etc.), on la barrera d'entrada per crear comptes amb permisos mÃnims és molt baixa.
King Addons per a Elementor: cà rregues d'arxius i escalada de privilegis
El complement comercial King Addons —que amplia Elementor amb widgets i plantilles— presenta dues fallades crÃtiques documentades per Patchstack: una cà rrega arbitrà ria d'arxius sense autenticació (CVE-2025-6327, gravetat 10/10) i una escalada de privilegis a través del punt final de registre (CVE-2025-6325, gravetat 9,8/10).
Segons l'avÃs, les dues vulnerabilitats són fà cilment explotables en configuracions comunes i poden desembocar a la presa total del lloc o robatori de dades. El fabricant va publicar la versió 51.1.37, que introdueix una llista de rols permesos, sanejat d'entrades i un gestor de cà rregues que exigeix ​​permisos adequats i và lida de forma estricta el tipus de fitxer.
Amb més de 10.000 instal·lacions actives, King Addons es fa servir per accelerar el disseny de pà gines. Precisament per això, aplicar el pegat com més aviat millor és clau per evitar que actors maliciosos pugin fitxers perillosos o escalin privilegis a comptes amb més permisos dels deguts.
Què pot aconseguir un atacant si no actualitzes
Amb les fallades descrites, un adversari podria encadenar passos que van des de la lectura silenciosa d'informació fins a la presa de control del lloc. Accedir a configuracions, bases de dades o directoris pujats per lusuari obre un ventall de possibilitats.
- Robar hashes de contrasenyes i llançar atacs de força bruta fora de lÃnia.
- Extreure dades personals (correus, perfils) amb possibles implicacions de privadesa.
- Modificar entrades o injectar codi per distribuir spam o codi maliciós (malware).
- Instal·lar portes del darrere per persistir fins i tot després de neteges parcials.
- Moviment lateral en allotjaments compartits cap a altres llocs del mateix servidor.
Impacte i obligacions a Espanya i la resta de la UE
Per a administradors amb seu a Espanya o la Unió Europea, una filtració de dades personals pot activar obligacions sota el el RGPD, inclosa l'avaluació d'impacte i, si escau, notificacions a autoritats i usuaris. Convé revisar polÃtiques internes i registres d'activitat si se sospita accés indegut, i confirmar si el vostre lloc és WordPress.org o WordPress.com.
Sense dramatismes però amb prudència, és assenyat prioritzar llocs amb registre de comptes o à rees privades, ja que el requisit d'autenticació a la decisió d'Anti-Malware es compleix amb perfils molt bà sics a nombrosos portals.
Mesures recomanades per a administradors
Abans de res, actualitza Anti-Malware a 4.23.83 i King Addons a 51.1.37. Aquest pas curt darrel els vectors coneguts i redueix de forma immediata la superfÃcie datac.
- Revoca sessions i tokens després del pegat, especialment en llocs amb registre obert.
- Revisa logs d'accessos i cà rregues de fitxers a la recerca d'activitat anòmala.
- Endureix permisos usuaris i desactiva el registre si no és imprescindible.
- Restringeix l'execució en directoris de pujada i valida tipus MIME al servidor.
- Còpia de seguretat verificada i pla de resposta davant d'incidents actualitzat.
De forma complementà ria, valora solucions de monitorització (WAF, llistes de bloqueig, alertes en temps real) i polÃtiques de mÃnim privilegi per a comptes dadministració i serveis externs.
La foto fixa és clara: amb pegats disponibles, la millor defensa és actualitzar ja. Actuar amb diligència, comprovar registres i reforçar controls pot marcar la diferència entre un ensurt i un incident de més importà ncia.
