MADRID, 31 Oct. (CIBERPRO) –
Más de 100.000 sitios web de WordPress se han visto comprometidos debido a una falla detectada en un ‘plugin’ de seguridad, que expone información sensible como credenciales a cualquier persona con una suscripción activa.
Un ‘plugin’ de seguridad de WordPress, que proporciona funcionalidades como escaneo de ‘malware’ y defensa contra ataques de fuerza bruta, ha puesto en riesgo a más de 100.000 páginas web donde se encuentra instalado, a causa de esta vulnerabilidad.
La vulnerabilidad de lectura arbitraria de archivos, clasificada como CVE-2025-11705, se ha detectado en ‘Anti-Malware Security and Brute-Force Firewall’, permitiendo que información delicada de los sitios web sea accesible para los suscriptores que han iniciado sesión, según informa Wordfence.
Esto implica que un atacante malicioso con privilegios de suscriptor puede acceder a datos tales como «las credenciales de la base de datos, así como las claves y los salts para la seguridad criptográfica» que están almacenados en el servidor.
La vulnerabilidad fue descubierta por el investigador Dmitrii Ignatyev, quien notificó el hallazgo a través del Programa de Recompensas por Errores de Wordfence. Los desarrolladores del plugin lanzaron a mediados de octubre el parche correspondiente en la versión 4.23.83.
Desde Wordfence recomiendan a los usuarios de este plugin que verifiquen la versión que tienen instalada y que actualicen a la más reciente lo antes posible.
