Resumen ejecutivo
Se ha identificado una vulnerabilidad de lectura arbitraria de archivos en el plugin Jupiterx Core, afectando a versiones hasta la 4.8.7. Esta falla puede ser explotada por usuarios autenticados con rol de colaborador o superior.
Fuente base de datos: Wordfence Intelligence
Jupiterx Core <= 4.8.7 - Authenticated (Contributor+) Arbitrary File Read (vulnerabilidad) - version 4.8.8
PLUGIN
MEDIUM
CVE-2025-0365
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
La vulnerabilidad permite a los atacantes autenticados acceder a archivos del servidor que no deberían estar disponibles para ellos. Esto se debe a una falta de validación adecuada de las solicitudes de lectura de archivos.
Impacto potencial
El impacto potencial incluye la exposición de información sensible y la posibilidad de comprometer la seguridad del sitio web. Esto puede afectar la confianza de los usuarios y la integridad de los datos.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas para acceder a archivos que deberían estar restringidos, aprovechando sus privilegios de colaborador o superiores.
Mitigación recomendada
Actualizar el plugin Jupiterx Core a la versión 4.8.8 o superior. Además, se recomienda revisar los permisos de usuario y aplicar políticas de seguridad adecuadas para limitar el acceso a archivos críticos.
Señales de detección
Señales de posible explotación incluyen registros de acceso inusuales o solicitudes de archivos que no corresponden a los roles de usuario asignados. Monitorizar la actividad de usuarios con privilegios puede ayudar a detectar intentos de explotación.
Alcance afectado
Las versiones afectadas son todas las anteriores a la 4.8.8 del plugin Jupiterx Core. Se recomienda a todos los usuarios de este plugin que verifiquen su versión y apliquen las actualizaciones necesarias.
Vulnerabilidades relacionadas
HIGH
PLUGIN
jupiterx-core
JupiterX Core <= 4.14.1 - Authenticated (Subscriber+) Missing Authorization To Limited File Upload via Popup Template Import
HIGH
PLUGIN
jupiterx-core
JupiterX Core <= 4.10.1 - Authenticated (Contributor+) PHP Object Injection
MEDIUM
PLUGIN
jupiterx-core
JupiterX Core <= 4.11.0 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
jupiterx-core
Jupiterx Core <= 4.8.12 - Authenticated (Contributor+) Stored Cross-Site Scripting via Inline SVG
MEDIUM
PLUGIN
jupiterx-core
JupiterX Core <= 4.8.11 - Authenticated (Contributor+) Stored Cross-Site Scripting
HIGH
PLUGIN
jupiterx-core
Jupiter X Core <= 4.8.11 - Unauthenticated PHP Object Injection via PHAR
HIGH
PLUGIN
jupiterx-core
Jupiter X Core <= 4.8.7 - Authenticated (Contributor+) SVG Upload to Local File Inclusion (Remote Code Execution)
MEDIUM
PLUGIN
jupiterx-core
Jupiter X Core <= 4.8.5 - Missing Authorization to Unauthenticated Popup Template Export
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto