El complemento Anti-Malware Security and Brute-Force Firewall para WordPress, instalado en más de 100.000 sitios, tiene una vulnerabilidad grave registrada como CVE-2025-11705. Esta falla permite que un usuario con privilegios bajos (rol “suscriptor”) lea cualquier archivo del servidor web, incluida información de configuración crítica como wp-config.php.
El desarrollador lanzó la versión 4.23.83 el 15 de octubre de 2025 para corregir el fallo que afecta a todas las versiones hasta la 4.23.81 inclusive.
De Suscriptor a Robo de Credenciales (CVE-2025-11705)
El riesgo de esta vulnerabilidad se magnifica porque afecta a un complemento de seguridad y porque el nivel de privilegio requerido para explotarla es mínimo.
Mecanismo de Explotación
- Falla en AJAX: El problema se encuentra en la función GOTMLS_ajax_scan()del plugin, que procesa solicitudes AJAX sin validar correctamente los privilegios del usuario (solo verifica un nonce).
- Filtrado Arbitrario: Un atacante solo necesita registrarse como usuario (rol “suscriptor”) para explotar la vulnerabilidad y leer archivos fuera del directorio de WordPress.
Riesgos críticos
- Compromiso de la base de datos: Al poder leer wp-config.php, el atacante obtiene las credenciales de MySQL y las sales de autenticación (AUTH_KEY, SECURE_AUTH_KEY). Esto posibilita un compromiso más profundo del sitio, la base de datos y un potencial escalamiento.
- Falsa sensación de seguridad: El complemento se comercializa como un firewall y una solución de “seguridad”, lo que crea una falsa sensación de protección entre los administradores que lo utilizan.
- Alta Superficie de Ataque: Muchos sitios (blogs, membresías, foros) permiten el registro de usuarios “suscriptores” por defecto. Un atacante puede pasar de un rol de bajo privilegio a filtrar datos críticos.
Recomendaciones
- Parcheo Inmediato y Revisión de Secretos
- Actualizar inmediatamente: Actualizar el complemento Anti-Malware Security and Brute-Force Firewall a la versión 4.23.83 o superior.
- Rotación de Credenciales: Si el plugin vulnerable estuvo activo en tu sitio, cambiar inmediatamente las credenciales de la base de datos y rotar las sales de autenticación (AUTH_KEY, SECURE_AUTH_KEY, etc.) en wp-config.php.
- Permisos de Archivo: Asegurar que el archivo wp-config.phptenga permisos de archivo restringidos (ej., 0640 o similar) para limitar la lectura solo al propietario y al grupo.
- Detección y Monitoreo de Cuentas
- Auditoría de Suscriptores: Revisar los registros de usuarios con rol “suscriptor” en tu sitio. Eliminar cuentas sospechosas o limitar la capacidad de registro si no se utiliza.
- Monitoreo de Logs: Verificar los logs del servidor y del plugin en busca de accesos AJAX inusuales hacia la función GOTMLS_ajax_scan()desde usuarios no privilegiados, ya que esto indica un intento de explotación.
- Reglas WAF: Implementar reglas de Web Application Firewall (WAF) para bloquear o alertar solicitudes AJAX hacia endpoints del complemento que no deben ser accesibles para suscriptores.
- Plan de respuesta: Si se detecta evidencia de lectura de wp-config.php, aislar el sitio, realizar una copia de seguridad limpia y auditar la base de datos inmediatamente en busca de cuentas elevadas o persistencia.
