La vulnerabilidad CVE-2025-8895 ha sido clasificada como crítica, con una puntuación de 9.8 según CVSS 3.1. Su vector de ataque permite la explotación a través de la red (AV:N), con una baja complejidad (AC:L), sin requerir privilegios previos (PR:N) ni interacción del usuario (UI:N). Su impacto es severo, ya que afecta de forma alta la confidencialidad, integridad y disponibilidad de los sistemas. Esta falla está asociada al tipo CWE-22: Path Traversal.
¿En qué consiste el fallo?
El problema radica en que una ruta responsable de copiar archivos dentro del plugin no valida de forma adecuada las entradas proporcionadas por el usuario, lo que posibilita a un atacante no autenticado solicitar rastreo hacia directorios superiores (mediante ../ o equivalentes codificados) y copiar archivos sensibles del servidor. Por ejemplo, se puede extraer el contenido de wp-config.php, que contiene credenciales de base de datos, y guardarlo como archivo de texto accesible por navegador.
¿Por qué es una amenaza tan elevada?
- Sin necesidad de iniciar sesión: cualquier atacante puede explotar esta falla desde Internet.
- Acceso a información crítica: credenciales de base de datos, llaves privadas, backups expuestos…
- Automatización del ataque: los atacantes suelen escanear miles de sitios en busca de esta vulnerabilidad, lo que la hace altamente peligrosa.
¿Qué medidas deben tomar los administradores de WordPress?
- Actualización inmediata del plugin
- Actualiza WP Webhooks a la versión 3.3.6 o superior, que corrige esta vulnerabilidad.
- Si no puedes actualizar aún:
- Desactiva temporalmente el plugin desde el panel de administración de WordPress.
- Bloquea el acceso a los endpoints del plugin mediante reglas en tu servidor web o firewall:
- Apache (en .htaccess):
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/wp-content/plugins/wp-webhooks/ [NC]
RewriteRule .* – [F,L]
- Nginx:
location ~* /wp-content/plugins/wp-webhooks/ { return 403; }
- Aplica un parche virtual via WAF / ModSecurity bloqueando patrones de “path traversal” (../, %2e%2e%2f, etc.) que apunten a rutas del plugin.
- Revisión post-explotación
- Inspecciona los logs del servidor (Apache/Nginx/WAF) buscando peticiones con secuencias sospechosas como ../.
- Busca archivos nuevos o modificados fuera de lugar, especialmente .php, archivos de configuración o copias de wp-config.php.
- Si sospechas que hubo acceso, rota las credenciales (base de datos, API, etc.), elimina archivos maliciosos y considera restaurar desde respaldo limpio y volver a evaluar permisos de archivos.
- Fortalecimiento continuo
- Fortalece los permisos del servidor (ej. wp-config.php inaccesible públicamente, permisos mínimos en directorios).
- Implementa monitoreo continuo de logs y alertas para peticiones sospechosas.
- Revisa periódicamente permisos de archivos, presencia de webshells o scripts extraños.
Conclusión
La vulnerabilidad CVE-2025-8895 representa un riesgo urgente para cualquier sitio que ejecute WordPress con el plugin WP Webhooks versión 3.3.5 o inferior. Su naturaleza remota, sin necesidad de autenticación y con potencial de acceso a datos confidenciales, exige acciones inmediatas: actualización, mitigación y revisión exhaustiva.
