Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Auros Core <= 5.3.1 - Unauthenticated Arbitrary Shortcode Execution (vulnerabilidad)

PLUGIN MEDIUM CVE-2025-64637

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen técnico base

Esta ficha corresponde a una vulnerabilidad en auros-core (tipo: plugin) con severidad reportada MEDIUM. Identificador CVE asociado: CVE-2025-64637. La corrección oficial está indicada a partir de la versión 5.3.1.

Recomendaciones inmediatas

  • Comprobar si el componente auros-core está instalado y activo en producción.
  • Aplicar actualización o mitigación temporal en cuanto esté disponible.
  • Revisar registros de acceso y cambios recientes para detectar intentos de explotación.

Vulnerabilidades relacionadas

HIGH PLUGIN

ar-for-wordpress

AR for WordPress <= 8.40 - Unauthenticated Arbitrary File Read via 'file' Parameter

MEDIUM PLUGIN

ninja-forms-uploads

Ninja Forms - File Uploads <= 3.3.29 - Missing Authorization to Unauthenticated Log Disclosure and Deletion via debug-log/delete-all and debug-log/get-all REST Endpoints

MEDIUM PLUGIN

motopress-appointment-lite

MotoPress Appointment Booking <= 2.4.4 - Unauthenticated Insecure Direct Object Reference to 'payment_details.booking_id' Parameter

MEDIUM PLUGIN

woo-multi-currency

CURCY <= 2.2.14 - Unauthenticated Arbitrary Shortcode Execution via 'exchange' Parameter

MEDIUM PLUGIN

latepoint

LatePoint <= 5.6.1 - Missing Authorization to Unauthenticated Arbitrary Customer Data Modification via process_step_customer() Booking Form Customer Step

CRITICAL PLUGIN

blocksy-companion

Blocksy Companion <= 2.1.46 - Unauthenticated Arbitrary File Upload via 'blc-review-images[]' Parameter

MEDIUM PLUGIN

academy

Academy LMS <= 3.8.1 - Unauthenticated Insecure Direct Object Reference to Private Topic Disclosure

MEDIUM PLUGIN

wappointment

Appointment Bookings for Zoom GoogleMeet and more – Wappointment <= 2.7.6 - Unauthenticated Insecure Direct Object Reference via Predictable 'edit_key' / 'appointmentkey' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad