Una vulnerabilidad de autenticación crítica evitó el complemento del usuario de WordPress del caso de Case WordPress ha surgido como una amenaza de seguridad significativa, lo que permite a los atacantes no autenticados obtener acceso administrativo a los sitios web explotando la funcionalidad de inicio de sesión social.
La vulnerabilidad, rastreada como CVE-2025-5821 con una puntuación CVSS de 9.8, afecta todas las versiones del complemento hasta 1.0.3 e impacta aproximadamente 12,000 instalaciones activas en todo el mundo.
La falla de seguridad permite a los actores maliciosos evitar los mecanismos de autenticación por completo, otorgándoles el acceso no autorizado a cualquier cuenta de usuario, incluidos los privilegios a nivel de administrador, siempre que sepan o puedan descubrir la dirección de correo electrónico del objetivo.
Lo que hace que esta vulnerabilidad sea particularmente peligrosa es su simplicidad: los ataques pueden explotarla a través de solicitudes sencillas HTTP sin requerir herramientas sofisticadas o conocimientos técnicos extensos.
La explotación activa comenzó casi inmediatamente después de la divulgación pública de la vulnerabilidad el 22 de agosto de 2025, con los actores de amenaza que lanzaron ataques al día siguiente.
Analistas de Wordfence identificado La vulnerabilidad a través de su programa de recompensa de errores y señaló que el firewall de la firma de seguridad ya ha bloqueado más de 20,900 intentos de explotación dirigidos a esta debilidad específica.
El inicio rápido de la explotación demuestra el atractivo de la vulnerabilidad a los ciberdelincuentes que buscan acceso rápido a los sitios de WordPress.
El complemento se incluye con múltiples temas premium, expandiendo significativamente la superficie de ataque más allá de las instalaciones independientes.
Se ha observado que los atacantes intentan adivinar direcciones de correo electrónico administrativas utilizando patrones comunes como (correos electrónicos protegidos), (correos electrónicos protegidos) y (correos electrónicos protegidos), lo que sugiere un enfoque sistemático para la explotación en múltiples objetivos.
Mecanismo de explotación y análisis de código
La vulnerabilidad proviene de la lógica defectuosa en la función facebook_ajax_login_callback () dentro de la clase case_theme_user_ajax.
Proceso de explotación (Fuente – WordFence)
La función procesa solicitudes de inicio de sesión social mediante la creación de cuentas de usuario en función de las direcciones de correo electrónico suministradas, pero no puede validar adecuadamente el estado de autenticación antes de otorgar el acceso.
El proceso de exploit implica dos fases distintas. Inicialmente, los atacantes registran una cuenta de usuario temporal utilizando su propia dirección de correo electrónico a través de una solicitud de publicación a /wp-admin/admin-ajax.php con el parámetro de acción establecido en facebook_ajax_login.
La carga útil maliciosa incluye datos de usuario de Facebook fabricados, como datos (nombre) = temp and Data (correo electrónico) (correo electrónico protegido), creando una sesión de usuario legítima.
En la segunda fase, los atacantes aprovechan la sesión establecida para autenticarse como la víctima objetivo enviando otra solicitud utilizando el mismo nombre de usuario temporal pero sustituyendo la dirección de correo electrónico de la víctima.
El código vulnerable recupera al usuario por correo electrónico en lugar de verificar el token de autenticación original, transfiriendo efectivamente los privilegios de sesión a la cuenta de destino.
El parche publicado en la versión 1.0.4 aborda esta falla lógica mediante la implementación de la verificación de autenticación adecuada antes de otorgar los derechos de acceso.
Los administradores del sitio web deben actualizarse inmediatamente a la última versión y revisar sus registros de acceso para las solicitudes de AJAX sospechosas que se originan en direcciones IP maliciosas conocidas, incluidas 2602: FFC8: 2: 105: 216: 3CFF: FE96: 129F y 146.70.186.142.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
