Schedule a Strategy Call

CVE-2025-5947: Falla crítica en plugin de WordPress permite a atacantes tomar cuentas de administrador

CVE-2025-5947: Falla crítica en plugin de WordPress permite a atacantes tomar cuentas de administrador

Se ha descubierto y ya está siendo explotada una vulnerabilidad crítica (CVE-2025-5947, CVSS 9.8) en el plugin Bookings del tema Service Finder de WordPress. Este plugin, muy popular entre negocios y profesionales para ofrecer listados y reservas en línea, presenta un fallo de validación en cookies que permite a un atacante iniciar sesión como cualquier usuario, incluso como administrador.

Cómo funciona el ataque

El problema radica en la función service_finder_switch_back(), que permite cambiar entre cuentas usando la cookie original_user_id. Al no validar correctamente la autenticación, los atacantes pueden falsificar cookies y obtener acceso total a cualquier cuenta del sitio.
Esto abre la puerta a:

  • Toma de control completa del sitio.

  • Escalamiento de privilegios.

  • Instalación de puertas traseras o malware.

Estado actual y explotación activa

  • El proveedor lanzó un parche el 17 de julio de 2025 (versión corregida >6.0).

  • La vulnerabilidad fue divulgada públicamente el 31 de julio de 2025.

  • Desde el 1 de agosto de 2025, atacantes ya estaban explotando la falla.

  • Wordfence reporta más de 13,800 intentos de explotación bloqueados hasta la fecha.

Indicadores de compromiso

Aunque los rastros son limitados, se han identificado solicitudes con el parámetro switch_back y ataques desde las siguientes direcciones IP:

  • 5.189.221.98

  • 185[.]109.21.157

  • 192[.]121[.]16[.]196

  • 194[.]68[.]32[.]71

  • 178[.]125[.]204[.]198

La ausencia de estos registros no garantiza que un sitio no esté comprometido.

Recomendaciones para empresas

  1. Actualizar de inmediato el plugin a la versión corregida (posterior a 6.0).

  2. Revisar logs en busca de peticiones con switch_back.

  3. Monitorear actividad de usuarios para detectar accesos inusuales o creación de cuentas sospechosas.

  4. Implementar un firewall de aplicaciones (WAF) para bloquear intentos conocidos de explotación.

  5. Realizar una auditoría de seguridad si se sospecha de compromiso.

Conclusión: Esta vulnerabilidad muestra cómo un fallo en un componente muy usado de WordPress puede convertirse en un riesgo crítico para negocios que dependen de su sitio web. La rápida acción, actualización, monitoreo y revisión forense es clave para evitar una intrusión que termine en robo de datos, fraudes o daño reputacional.

Back to all Post

Related Post