Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Woffice Core <= 5.4.26 - Authenticated (Contributor+) Arbitrary File Deletion

PLUGIN MEDIUM CVE-2025-7694

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de eliminación arbitraria de archivos en el plugin Woffice Core, afectando a versiones hasta la 5.4.26. Este fallo permite a usuarios autenticados con rol de colaborador o superior comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las solicitudes de eliminación de archivos. Un atacante con privilegios suficientes puede enviar peticiones maliciosas que resulten en la eliminación no autorizada de archivos en el servidor, lo que afecta la integridad del sitio web.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la pérdida de datos críticos y afectar la disponibilidad del sitio. Además, puede ser utilizada como un vector para realizar ataques más complejos, como la inyección de código o la escalada de privilegios.

Vector de explotación

Generalmente, la explotación se realiza mediante la manipulación de peticiones HTTP que permiten a un atacante autenticado enviar comandos para eliminar archivos específicos del servidor.

Mitigación recomendada

Se recomienda actualizar el plugin Woffice Core a la versión 5.4.27 o posterior. Además, es aconsejable revisar los permisos de usuario y restringir el acceso a funciones críticas del plugin a roles mínimos necesarios.

Señales de detección

Señales de posible explotación incluyen registros de eliminación de archivos inusuales o peticiones HTTP sospechosas que provienen de usuarios autenticados con privilegios elevados.

Alcance afectado

Las versiones del plugin Woffice Core hasta la 5.4.26 están afectadas, por lo que cualquier instalación que utilice estas versiones es vulnerable.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

woffice-core

Woffice Core <= 5.4.30 - Unauthenticated Insecure Direct Object Reference

Ver ficha
MEDIUM PLUGIN

woffice-core

Woffice Core <= 5.4.30 - Missing Authorization

Ver ficha
MEDIUM PLUGIN

woffice-core

Woffice Core <= 5.4.21 - Cross-Site Request Forgery to User Registration Approval

Ver ficha
HIGH PLUGIN

woffice-core

Woffice Core <= 5.4.21 - Authenticated (Subscriber+) Arbitrary File Upload

Ver ficha
MEDIUM PLUGIN

woffice-core

Woffice Core <= 5.4.8 - Missing Authorization

Ver ficha
MEDIUM PLUGIN

woffice-core

Woffice Core <= 5.4.8 - Reflected Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad