- El complemento King Addon tenía dos fallas importantes que permitieron apoderarse de un sitio completo de WordPress
- El error permite la carga de archivos no autenticados y la elevación de privilegios a través del punto final de registro.
- Los usuarios deben actualizar a la versión 51.1.37 para corregir ambas vulnerabilidades.
King Addons for Eliminator, un complemento comercial de WordPress que amplía el creador de páginas Eliminator con widgets, plantillas y características de diseño adicionales para el creador de sitios web, tiene dos niveles críticos de vulnerabilidad que permitieron a los actores de amenazas apoderarse por completo de los sitios web vulnerables, advirtieron los expertos.
En el nuevo aviso de seguridad, Patchstick detalló dos errores: una falla de carga de archivos arbitrarios no documentados (CVE-2025-6327) y una elevación de privilegios a través de una falla en el punto final de registro (CVE-2025-6325). El primero tiene una puntuación de gravedad de 10/10 (represalia), mientras que el segundo es de 9,8/10 (también importante).
Ambos errores permiten a un actor malicioso secuestrar un sitio web vulnerable de WordPress. Pueden obtener código o cuentas en el sitio y utilizarlo para realizar acciones que conduzcan a un compromiso total del sitio o al robo de datos.
Parchear errores
Los administradores del sitio que utilizan los widgets «King Addon Login | Formulario de registro» deben asegurarse de actualizar el complemento a la versión 51.1.37 lo antes posible, ya que este parche corrige las vulnerabilidades y mitiga los riesgos potenciales para el sitio.
«Ambas vulnerabilidades son mínimamente explotables bajo configuraciones comunes y no requieren autenticación», advirtió Patchstick. «Se recomienda encarecidamente aplicar parches de inmediato».
Revista Infoseguridad Dice que el proveedor ha abordado las vulnerabilidades en dos versiones, introduciendo una lista de permisos de roles y desinfección de entradas, así como un controlador de carga que ahora requiere los permisos correctos y aplica una validación de tipo de archivo más estricta.
King Addon for Eliminator es un complemento popular con más de 10.000 usuarios activos. Proporciona más de 70 widgets, más de 650 plantillas y más de 4000 componentes de página, lo que ayuda a los usuarios a crear sus sitios web sin grandes conocimientos de codificación.
Encontrar vulnerabilidades graves en los complementos y temas de WordPress no es nuevo.
Las extensiones de terceros de la plataforma son las formas más comunes en que los ciberdelincuentes comprometen y se apoderan de los sitios web de WordPress, por lo que siempre se recomienda a los usuarios que conserven solo los complementos que utilizan y se aseguren de que siempre estén actualizados a las últimas versiones.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y Agréguenos como recurso preferido Para recibir noticias, reseñas y opiniones de nuestros expertos en sus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok Reciba noticias, reseñas, boxeo en formato de video y actualizaciones periódicas de nuestra parte WhatsApp también
