Fuente base de datos: Wordfence Intelligence

WP Ultimate Exporter <= 2.9 - Authenticated (Admin+) Arbitrary File Read

PLUGIN MEDIUM CVE-2025-24611

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de lectura arbitraria de archivos en el plugin WP Ultimate Exporter hasta la versión 2.9. Esta falla afecta a los usuarios autenticados con privilegios de administrador, permitiendo el acceso no autorizado a archivos del sistema.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de las solicitudes de archivos, lo que permite a un usuario autenticado con privilegios de administrador acceder a archivos fuera del directorio permitido. Esto se traduce en una superficie de ataque que puede ser explotada mediante solicitudes maliciosas.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, dado que permite la lectura de archivos sensibles que podrían comprometer la seguridad del sitio y la integridad de la información. Esto puede resultar en filtraciones de datos o en la exposición de información crítica para el negocio.

Vector de explotación

La explotación típicamente se realiza mediante la manipulación de parámetros en las solicitudes del plugin, lo que permite a un atacante acceder a archivos del servidor que no deberían ser accesibles para el usuario.

Mitigación recomendada

Se recomienda actualizar inmediatamente el plugin WP Ultimate Exporter a la versión 2.9.1 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar principios de menor privilegio en la gestión de roles.

Señales de detección

Señales de riesgo pueden incluir accesos inusuales a archivos del sistema o registros de actividad sospechosa por parte de usuarios con privilegios de administrador, así como intentos de acceso a archivos que normalmente no deberían ser accesibles.

Alcance afectado

Las versiones del plugin WP Ultimate Exporter hasta la 2.9 son las afectadas. La vulnerabilidad fue corregida en la versión 2.9.1, publicada el 24 de enero de 2025.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-ultimate-exporter

Export All Posts, Products, Orders, Refunds & Users <= 2.19 - Cross-Site Request Forgery to Sensitive Information Exposure

CRITICAL PLUGIN

wp-ultimate-exporter

Export All Posts, Products, Orders, Refunds & Users <= 2.13 - Unauthenticated PHP Object Injection

HIGH PLUGIN

wp-ultimate-exporter

Export All Posts, Products, Orders, Refunds & Users <= 2.9.3 - Information Disclosure Through Unprotected Directory

MEDIUM PLUGIN

wp-ultimate-exporter

WP Ultimate Exporter <= 2.9.1 - Authenticated (Admin+) Remote Code Execution

MEDIUM PLUGIN

wp-ultimate-exporter

WP Ultimate Exporter <= 2.4.1 - Unauthenticated Information Disclosure

HIGH PLUGIN

wp-ultimate-exporter

Export WordPress Data with Advanced Filters <= 1.4.1 - Cross-Site Request Forgery

CRITICAL PLUGIN

wp-ultimate-exporter

Export WordPress Data with Advanced Filters < 1.2 - SQL Injection

MEDIUM PLUGIN

wp-ultimate-exporter

WP Ultimate Exporter < 1.1 - Reflected Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto