Fuente base de datos: Wordfence Intelligence

uListing <= 2.2.0 - Authenticated (Subscriber+) PHP Object Injection

PLUGIN HIGH CVE-2025-32662

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin uListing, que afecta a las versiones anteriores a la 2.2.0. Esta vulnerabilidad permite la inyección de objetos PHP, lo que podría comprometer la seguridad del sitio web.

Contexto técnico

El fallo se origina en la forma en que el plugin maneja las entradas de los usuarios autenticados, permitiendo la inyección de objetos PHP. Esto amplía la superficie de ataque, ya que cualquier usuario con privilegios de suscriptor o superiores puede aprovechar esta vulnerabilidad para ejecutar código malicioso.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo, ya que podría permitir a un atacante ejecutar código arbitrario en el servidor, comprometiendo la integridad y disponibilidad del sitio. Esto podría resultar en la pérdida de datos, alteración de la funcionalidad del sitio y daño a la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza a través de la manipulación de las solicitudes enviadas al servidor por usuarios autenticados, lo que permite al atacante inyectar código PHP malicioso en el entorno del servidor.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin uListing a la versión 2.2.0 o superior. Además, se sugiere revisar los permisos de los usuarios y aplicar medidas de hardening en la configuración de PHP y el servidor web.

Señales de detección

Señales de riesgo incluyen actividades inusuales en los registros de acceso, intentos de inyección de código en las solicitudes y cambios inesperados en los archivos del servidor.

Alcance afectado

Las versiones del plugin uListing anteriores a la 2.2.0 están afectadas. Se recomienda a los administradores de sitios que utilicen este plugin verificar su versión y proceder a la actualización.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

ulisting

Directory Listings WordPress plugin – uListing <= 2.2.0 - Authenticated (Editor+) Arbitrary File Download

MEDIUM PLUGIN

ulisting

uListing <= 2.1.9 - Authenticated (Administrator+) SQL Injection

HIGH PLUGIN

ulisting

Directory Listings WordPress plugin – uListing <= 2.2.0 - Authenticated (Subscriber+) Privilege Escalation

HIGH PLUGIN

ulisting

Directory Listings WordPress plugin – uListing <= 2.2.0 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Post Meta Update and PHP Object Injection

HIGH PLUGIN

ulisting

uListing <= 2.1.6 - Unauthenticated SQL Injection

MEDIUM PLUGIN

ulisting

uListing <= 2.1.6 - Authenticated (Contributor+) SQL Injection

MEDIUM PLUGIN

ulisting

uListing <= 2.1.5 - Unauthenticated Information Exposure

CRITICAL PLUGIN

ulisting

uListing <= 1.6.6 - Unauthenticated SQL Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto