El complemento Anti-Malware Security y Brute-Force Firewall para WordPress, instalado en más de 100.000 sitios, tiene una vulnerabilidad que permite a los suscriptores leer cualquier archivo en el servidor, exponiendo potencialmente información privada.
El complemento proporciona escaneo de malware y protección contra ataques de fuerza bruta, explotación de fallas conocidas del complemento y contra intentos de inyección de bases de datos.
Identificada como CVE-2025-11705, la vulnerabilidad fue reportado a Wordfence por el investigador Dmitrii Ignatyev y afecta a las versiones del complemento 4.23.81 y anteriores.
El problema surge de la falta de controles de capacidad en el GOTMLS_ajax_scan() función, que procesa solicitudes AJAX utilizando un nonce que los atacantes podrían obtener.
Esta supervisión permite que un usuario con pocos privilegios, que puede invocar la función, lea archivos arbitrarios en el servidor, incluidos datos confidenciales como el wp-config.php Archivo de configuración que almacena el nombre de la base de datos y las credenciales.
Con acceso a la base de datos, un atacante puede extraer hashes de contraseñas, correos electrónicos de los usuarios, publicaciones y otros datos privados (y claves, sales para una autenticación segura).
Aunque la gravedad de la vulnerabilidad no se considera crítica, porque se necesita autenticación para su explotación, muchos sitios web permiten a los usuarios suscribirse y aumentar su acceso a varias secciones del sitio, como los comentarios.
Sitios que ofrecen cualquier tipo de membresía o suscripción, lo que permite a los usuarios crear cuentas, cumplir con los requisitos y son vulnerables a ataques que explotan CVE-2025-11705.
Wordfence informó el problema al proveedor, Eli, junto con una prueba de concepto validada, a través del equipo de seguridad de WordPress.org, el 14 de octubre.
El 15 de octubre, el desarrollador lanzó la versión 4.23.83 del complemento que aborda CVE-2025-11705 agregando una verificación de capacidad de usuario adecuada a través de una nueva función 'GOTMLS_kill_invalid_user()'.
De acuerdo a Estadísticas de WordPress.orgaproximadamente 50.000 administradores de sitios web han descargado la última versión desde su lanzamiento, lo que indica que un número igual de sitios ejecutan una versión vulnerable del complemento.
Actualmente, Wordfence no ha detectado signos de explotación en la naturaleza, pero se recomienda encarecidamente aplicar el parche, ya que la divulgación pública del problema puede llamar la atención de los atacantes.
El 46% de los entornos tenían contraseñas descifradas, casi el doble que el 25% del año pasado.
Obtenga ahora el Informe Picus Blue 2025 para obtener una visión completa de más hallazgos sobre tendencias de prevención, detección y filtración de datos.
