Resumen ejecutivo
La vulnerabilidad en el plugin Bravis Addons, hasta la versión 1.1.9, permite la carga arbitraria de archivos por usuarios autenticados con rol de suscriptor o superior. Esta falla presenta un riesgo alto, con un CVSS de 8.8.
Fuente base de datos: Wordfence Intelligence
Bravis Addons <= 1.1.9 - Authenticated (Subscriber+) Arbitrary File Upload
PLUGIN
HIGH
CVE-2025-69403
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se origina en la falta de validación adecuada al permitir la carga de archivos, lo que puede dar lugar a la ejecución de código malicioso en el servidor. La superficie de ataque se amplía a cualquier usuario autenticado que tenga permisos suficientes para cargar archivos.
Impacto potencial
Si se explota esta vulnerabilidad, un atacante podría comprometer la integridad del sitio, subir archivos maliciosos y potencialmente obtener acceso no autorizado a datos sensibles, lo que podría resultar en daños reputacionales y financieros significativos.
Vector de explotación
Los atacantes suelen aprovechar esta vulnerabilidad mediante la creación de una cuenta de usuario con permisos de suscriptor o superior y luego utilizan la funcionalidad de carga de archivos para subir archivos maliciosos al servidor.
Mitigación recomendada
Actualizar el plugin Bravis Addons a la versión 1.1.9 o superior es esencial para mitigar esta vulnerabilidad. Además, se recomienda realizar una revisión de los permisos de usuario y aplicar medidas de seguridad adicionales, como la limitación de tipos de archivos permitidos para carga.
Señales de detección
Se deben monitorizar los registros de actividad del servidor en busca de cargas inusuales de archivos, especialmente por parte de usuarios con permisos limitados, así como la ejecución de scripts no autorizados.
Alcance afectado
Todas las instalaciones de WordPress que utilicen el plugin Bravis Addons en versiones iguales o anteriores a la 1.1.9 están en riesgo.
Vulnerabilidades relacionadas
HIGH
THEME
ona
Ona < 1.24 - Authenticated (Subscriber+) Arbitrary File Upload
HIGH
PLUGIN
wplr-sync
Photo Engine (Media Organizer & Lightroom) <= 6.4.9 - Authenticated (Author+) Arbitrary File Upload
HIGH
PLUGIN
wpjam-basic
WPJAM Basic <= 6.9.2 - Authenticated (Subscriber+) Arbitrary File Upload
HIGH
PLUGIN
halfdata-paypal-green-downloads
Green Downloads <= 2.08 - Authenticated (Subscriber+) Arbitrary File Upload
HIGH
PLUGIN
wishlist-member-x
Wishlist Member <= 3.29.0 - Authenticated (Subscriber+) Arbitrary File Upload
HIGH
PLUGIN
unlimited-elements-for-elementor-premium
Unlimited Elements for Elementor (Premium) <= 1.4.72 - Authenticated (Contributor+) Arbitrary File Upload
HIGH
THEME
photography
Photography <= 7.7.5 - Authenticated (Editor+) Arbitrary File Upload
HIGH
PLUGIN
mobile-app-editor
Mobile App Editor – WordPress to Android App Builder <= 1.3.1 - Authenticated (Editor+) Arbitrary File Upload
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto