La comunidad de WordPress vuelve a encender las alarmas por dos vulnerabilidades en complementos ampliamente utilizados que pueden poner en jaque la seguridad de miles de sitios. Uno de los fallos afecta al plugin Anti‑Malware Security and Brute‑Force Firewall; el otro, al popular paquete King Addons para Elementor.
En ambos casos, las actualizaciones ya están disponibles y los expertos recomiendan instalarlas sin demora. El impacto es distinto en cada plugin, pero comparte un denominador comĂşn: los atacantes podrĂan obtener acceso indebido a recursos del servidor o tomar el control del sitio si no se aplican los parches.
Anti‑Malware Security and Brute‑Force Firewall: lectura de archivos (CVE‑2025‑11705)
El plugin de seguridad Anti‑Malware, con más de 100.000 instalaciones, arrastra un fallo rastreado como CVE‑2025‑11705 que permite a un usuario autenticado, incluso con perfil de suscriptor, leer archivos del servidor. La raĂz del problema está en la funciĂłn interna GOTMLS_ajax_scan(), donde faltaba una verificaciĂłn de capacidades adecuada al procesar peticiones AJAX.
La vulnerabilidad fue identificada por el investigador Dmitrii Ignatyev y comunicada a Wordfence Threat Intelligence. Debido a la gestiĂłn del token (nonce) y a la ausencia de control de permisos, cualquier cuenta con inicio de sesiĂłn válido podĂa invocar el escaneo y acceder a contenidos sensibles.
Entre los objetivos más jugosos está wp-config.php, archivo que almacena credenciales de base de datos y claves de autenticaciĂłn. Con esa informaciĂłn, un atacante podrĂa avanzar hacia acciones como exfiltrar datos, manipular contenidos o intentar nuevos movimientos dentro de la misma infraestructura.
El desarrollador del plugin, conocido como Eli, lanzó la versión corregida 4.23.83, donde se añade la función GOTMLS_kill_invalid_user() para verificar capacidades antes de atender solicitudes. Wordfence indicó que, por el momento, no se han observado ataques activos, pero la publicación del fallo incrementa el riesgo de explotación si no se actualiza.
- 14 de octubre: notificación al desarrollador a través del equipo de seguridad de WordPress.org.
- 15 de octubre: publicaciĂłn de la versiĂłn 4.23.83 con controles de capacidad reforzados.
- Descargas del parche: unas 50.000 instalaciones actualizadas; un volumen similar podrĂa seguir expuesto si no aplica la correcciĂłn.
El vector de ataque es especialmente relevante en sitios con registro de usuarios abierto (foros, membresĂas, boletines, etc.), donde la barrera de entrada para crear cuentas con permisos mĂnimos es muy baja.
King Addons para Elementor: cargas de archivos y escalada de privilegios
El complemento comercial King Addons —que amplĂa Elementor con widgets y plantillas— presenta dos fallos crĂticos documentados por Patchstack: una carga arbitraria de archivos sin autenticaciĂłn (CVE‑2025‑6327, gravedad 10/10) y una escalada de privilegios a travĂ©s del punto final de registro (CVE‑2025‑6325, gravedad 9,8/10).
Según el aviso, ambas vulnerabilidades son fácilmente explotables en configuraciones comunes y pueden desembocar en la toma total del sitio o robo de datos. El fabricante publicó la versión 51.1.37, que introduce una lista de roles permitidos, saneado de entradas y un gestor de cargas que exige permisos adecuados y valida de forma estricta el tipo de archivo.
Con más de 10.000 instalaciones activas, King Addons se utiliza para acelerar el diseño de páginas. Precisamente por ello, aplicar el parche cuanto antes es clave para evitar que actores maliciosos suban ficheros peligrosos o escalen privilegios a cuentas con más permisos de los debidos.
Qué puede conseguir un atacante si no actualizas
Con los fallos descritos, un adversario podrĂa encadenar pasos que van desde la lectura silenciosa de informaciĂłn hasta la toma de control del sitio. Acceder a configuraciones, bases de datos o directorios subidos por el usuario abre un abanico de posibilidades.
- Robar hashes de contraseñas y lanzar ataques de fuerza bruta fuera de lĂnea.
- Extraer datos personales (correos, perfiles) con posibles implicaciones de privacidad.
- Modificar entradas o inyectar cĂłdigo para distribuir spam o malware.
- Instalar puertas traseras para persistir incluso tras limpiezas parciales.
- Movimiento lateral en alojamientos compartidos hacia otros sitios del mismo servidor.
Impacto y obligaciones en España y el resto de la UE
Para administradores con sede en España o la UniĂłn Europea, una filtraciĂłn de datos personales puede activar obligaciones bajo el RGPD, incluida la evaluaciĂłn de impacto y, si procede, notificaciones a autoridades y usuarios. Conviene revisar polĂticas internas y registros de actividad si se sospecha acceso indebido, y confirmar si tu sitio es WordPress.org o WordPress.com.
Sin dramatismos pero con prudencia, es sensato priorizar sitios con registro de cuentas o áreas privadas, puesto que el requisito de autenticación en el fallo de Anti‑Malware se cumple con perfiles muy básicos en numerosos portales.
Medidas recomendadas para administradores
Antes de nada, actualiza Anti‑Malware a 4.23.83 y King Addons a 51.1.37. Este paso corta de raĂz los vectores conocidos y reduce de forma inmediata la superficie de ataque.
- Revoca sesiones y tokens tras el parche, especialmente en sitios con registro abierto.
- Revisa logs de accesos y cargas de archivos en busca de actividad anĂłmala.
- Endurece permisos de usuarios y desactiva el registro si no es imprescindible.
- Restringe la ejecuciĂłn en directorios de subida y valida tipos MIME en el servidor.
- Copia de seguridad verificada y plan de respuesta ante incidentes actualizado.
De forma complementaria, valora soluciones de monitorizaciĂłn (WAF, listas de bloqueo, alertas en tiempo real) y polĂticas de mĂnimo privilegio para cuentas de administraciĂłn y servicios externos.
La foto fija es clara: con parches disponibles, la mejor defensa es actualizar ya. Actuar con diligencia, comprobar registros y reforzar controles puede marcar la diferencia entre un susto y un incidente de mayor calado.
