Fuente base de datos: Wordfence Intelligence

Car Dealer Automotive WordPress Theme – Responsive <= 1.6.3 - Authenticated (Subscriber+) Arbitrary File Deletion and Read

THEME HIGH CVE-2025-1282

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el tema 'Car Dealer Automotive' para WordPress, que permite la eliminación y lectura arbitraria de archivos por usuarios autenticados con rol de suscriptor o superior. Esta falla afecta a las versiones hasta la 1.6.3 y tiene una puntuación CVSS de 8.8.

Contexto técnico

La vulnerabilidad se origina en la forma en que el tema maneja las solicitudes de eliminación y lectura de archivos, permitiendo a usuarios con permisos insuficientes realizar acciones no autorizadas sobre el sistema de archivos del servidor.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la pérdida de datos sensibles y comprometer la integridad del sitio, lo que podría resultar en daños financieros y reputacionales significativos para las organizaciones afectadas.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a través de la interfaz del tema, aprovechando los permisos de los usuarios autenticados para ejecutar acciones no autorizadas.

Mitigación recomendada

Actualizar el tema 'Car Dealer Automotive' a la versión 1.6.4 o superior. Además, se recomienda revisar los permisos de usuario y aplicar medidas de seguridad adicionales para proteger el acceso a archivos sensibles.

Señales de detección

Señales de riesgo incluyen actividad inusual en los registros de acceso, intentos de eliminación de archivos por usuarios no autorizados y cambios inesperados en el sistema de archivos.

Alcance afectado

Las versiones del tema 'Car Dealer Automotive' hasta la 1.6.3 están afectadas; se recomienda a todos los usuarios de este tema verificar su versión y actualizar.

Vulnerabilidades relacionadas

MEDIUM THEME

cardealer

Car Dealer Automotive WordPress Theme – Responsive <= 1.6.7 - Reflected Cross-Site Scripting

CRITICAL THEME

cardealer

Car Dealer < 1.6.7 - Unauthenticated PHP Object Injection

HIGH THEME

cardealer

Cardealer <= 1.6.4 - Arbitrary Theme Option Update to Authenticated (Subscriber+) Privilege Escalation

HIGH THEME

cardealer

Cardealer <= 1.6.4 - Cross-Site Request Forgery to User Update via update_user_profile

MEDIUM THEME

cardealer

Cardealer <= 1.6.4 - Missing Authorization to Authenticated (Subscriber+) Change and Delete JS and CSS Files

MEDIUM PLUGIN

cardealer

Car Dealer <= 4.46 - Missing Authorization

LOW PLUGIN

cardealer

Car Dealer <= 4.15 - Authenticated (Admin+) Content Injection

MEDIUM PLUGIN

cardealer

Car Dealer <= 3.04 - Missing Authorization to Arbitrary Plugin Installation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto