Atacantes Aprovechan Activa y Críticamente una Vulnerabilidad en el Plugin WP Freeio

Atacantes Aprovechan Activa y Críticamente una Vulnerabilidad en el Plugin WP Freeio

Vulnerabilidad Crítica en el Plugin WP Freeio: Lo Que Debes Saber

El 25 de septiembre de 2025, se reportó una vulnerabilidad crítica de escalamiento de privilegios en el plugin WP Freeio, un complemento de WordPress incluido en el tema premium Freeio, que ha vendido más de 1,700 copias. Esta vulnerabilidad permite que un atacante no autenticado otorgue a sí mismo privilegios administrativos al especificar un rol de usuario durante el registro. El 9 de octubre de 2025, el vendedor lanzó una versión corregida del plugin, y el 10 de octubre se hizo pública la vulnerabilidad en la base de datos de inteligencia de Wordfence. Curiosamente, los atacantes comenzaron a explotarla el mismo día, con más de 33,200 intentos de explotación bloqueados por el firewall de Wordfence.

Los usuarios de Wordfence Premium, Wordfence Care y Wordfence Response recibieron una regla de firewall el 8 de octubre de 2025 para protegerse contra estos ataques. Para los que usan la versión gratuita, la protección estará disponible el 7 de noviembre de 2025, después del retraso estándar de 30 días.

Por lo tanto, es crucial que actualices tu sitio a la última versión corregida (1.2.22) de WP Freeio lo antes posible.

Resumen de la Vulnerabilidad desde Wordfence Intelligence

WP Freeio <= 1.2.21 – Escalamiento de Privilegios No Autenticado

9.8

Clasificación CVSS
9.8 (Crítica)
ID CVE
CVE-2025-11533
Versiones Afectadas
<= 1.2.21
Versión Corregida
1.2.22
Bounty
$358.00

Software Afectado
WP Freeio

Slug del Software Afectado
wp-freeio

Investigador
Foxyyy

El plugin WP Freeio es vulnerable a un escalamiento de privilegios en todas las versiones hasta la 1.2.21 debido a la implementación inadecuada de la función process_register(). Esto permite que atacantes no autenticados se registren como administradores sin ninguna restricción.

Más Detalles >

Detalles de la Vulnerabilidad

Analizando el código, descubrimos que el plugin utiliza la función process_register() en la clase WP_Freeio_User para manejar el registro.

public static function process_register() {

    global $reg_errors;

    $do_check = true;

    if ( isset($_POST['role'])


Puedes consultar el artículo original aquí: https://www.wordfence.com/blog/2025/10/attackers-actively-exploiting-critical-vulnerability-in-wp-freeio-plugin/


Este contenido ha sido generado automáticamente con el plugin Autoblog AI. Desarrollado por Zonsai.
Related Posts
¡Descubre la nueva versión Beta 3 de WordPress 6.9 ya disponible!

¡Descubre la nueva versión Beta 3 de WordPress 6.9 ya disponible!

06/11/2025
ACF 6.6.2: La última versión que necesitas descubrir

ACF 6.6.2: La última versión que necesitas descubrir

06/11/2025
Cien mil sitios de WordPress en peligro por una vulnerabilidad de lectura de archivos en el plugin Anti-Malware Security y Firewall contra Fuerza Bruta.

Cien mil sitios de WordPress en peligro por una vulnerabilidad de lectura de archivos en el plugin Anti-Malware Security y Firewall contra Fuerza Bruta.

05/11/2025
Plugin de WordPress malicioso oculta esquiadores de tarjetas de crédito en falsos archivos PNG

Plugin de WordPress malicioso oculta esquiadores de tarjetas de crédito en falsos archivos PNG

05/11/2025
Campaña Masiva de Explotación: Vulnerabilidades en la Instalación Arbitraria de Plugins

Campaña Masiva de Explotación: Vulnerabilidades en la Instalación Arbitraria de Plugins

04/11/2025
¡Lanzamiento exclusivo! Nueva versión del Complemento de Entradas Parciales 1.8

¡Lanzamiento exclusivo! Nueva versión del Complemento de Entradas Parciales 1.8

04/11/2025