Hackers logran explotan una Vulnerabilidad Crítica en el Plugin WP-Freeio de WordPress. Wordfence, una de las principales empresas de seguridad para WordPress, ha emitido una alerta urgente tras detectar que atacantes maliciosos están explotando activamente una vulnerabilidad de escalada de privilegios en el popular plugin WP-Freeio. Este fallo de seguridad, clasificado como Crítico (CVSS 9.8) y con el identificador CVE-2025-11533, permite a usuarios no autenticados obtener acceso completo de administrador en los sitios web afectados.

El Fallo de Seguridad

El plugin WP-Freeio, utilizado para crear sitios de mercado y plataformas de freelancers con WordPress, contiene una grave omisión en su proceso de registro de usuarios. La vulnerabilidad reside en la función process_register(), la cual no restringe los roles de usuario que un atacante puede solicitar durante el proceso de registro.

Consecuencia Directa: Un atacante puede simplemente especificar el rol de ‘administrador’ durante la creación de una cuenta y, sin necesidad de autenticación previa, obtener el control total del sitio web.Con acceso de administrador, los atacantes pueden realizar las acciones que quieran como:

Subir archivos maliciosos (como backdoors o shells PHP).
Modificar o eliminar contenido del sitio.
Acceder a datos sensibles.
Redirigir a los visitantes a sitios fraudulentos.

Solución y Recomendaciones Urgentes

La vulnerabilidad afecta a todas las versiones de WP-Freeio hasta la 1.2.21 inclusive. Wordfence y otros expertos en seguridad están instando a los usuarios a tomar medidas inmediatas, dado que los intentos de explotación ya han sido detectados en masa desde finales de octubre.

Acción Recomendada: Versión Segura
Riesgo Actual: Actualización INMEDIATA a WP-Freeio versión 1.2.22 o superior
Prioridad Máxima: Los administradores de sitios que utilicen WP-Freeio deben actualizar inmediatamente a la versión 1.2.22. Esta versión parchea el fallo al implementar una validación estricta para restringir los roles de usuario que pueden ser asignados durante el registro.
Monitoreo: Se recomienda encarecidamente revisar los logs de seguridad y los registros de nuevos usuarios en busca de actividad sospechosa, especialmente cuentas de administrador recién creadas.

La rápida y generalizada explotación de este fallo y otros similares en los CMS, subraya la importancia crítica de mantener todos los plugins de WordPress (núcleo, plugins y temas) actualizados a sus versiones más recientes para evitar este tipo de problemas.

Nuestros servicios de mantenimiento web le proporcionan la seguridad y tranquilidad de reducir al máximo este tipo de riesgos con acciones preventivas constantemente, copias de seguridad y seguimiento continuado de todas las vulnerabilidades y fallos de seguridad que van apareciendo en este tipo de CRM.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	La cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	1 year	Esta cookie es establecida por el plugin de WordPress GDPR Cookie Consent. La cookie se utiliza para recordar el consentimiento del usuario para las cookies de la categoría "Analytics".
cookielawinfo-checkbox-necessary	1 year	Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	1 year	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Rendimiento".

Cookie	Duración	Descripción
GCLB	1 day	Esta cookie es conocida como Google Cloud Load Balancer establecida por el proveedor Google. Esta cookie se utiliza para el equilibrio de carga HTTPS externo de la infraestructura de la nube con Google.
YSC	session	Esta cookie la instala Youtube y se utiliza para hacer un seguimiento de las visualizaciones de los vídeos incrustados.

Cookie	Duración	Descripción
_ga	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de los visitantes, de la sesión y de la campaña y para hacer un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan la información de forma anónima y asignan un número generado aleatoriamente para identificar a los visitantes únicos.
_gat_gtag_UA_192162769_1	1 minute	De Google Analytics
_gid	1 dia	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre el uso que hacen los visitantes de un sitio web y ayuda a crear un informe analítico sobre el funcionamiento del sitio web. Los datos recogidos incluyen el número de visitantes, la fuente de la que proceden y las páginas visitadas de forma anónima.

Cookie	Duración	Descripción
IDE	1 year 24 days	Utilizado por Google DoubleClick y almacena información sobre el uso que el usuario hace del sitio web y cualquier otro anuncio antes de visitarlo. Se utiliza para presentar a los usuarios anuncios que sean relevantes para ellos según el perfil del usuario.
test_cookie	15 minutes	Esta cookie es establecida por doubleclick.net. La finalidad de la cookie es determinar si el navegador del usuario admite cookies.
VISITOR_INFO1_LIVE	5 months 27 days	Esta cookie es instalada por Youtube. Se utiliza para rastrear la información de los vídeos de YouTube incrustados en el sitio web.

Vulnerabilidad crítica en el plugin WP-Freeio de WordPress

El Fallo de Seguridad

Solución y Recomendaciones Urgentes

WordPress 6.8 ya disponible

Leave your thought here Cancelar la respuesta

Entradas recientes

Diseño Web

Tiendas On-line

Web Corporativa

Autoadministrables

Inmobiliarias

Posicionamiento Web

Posicionamiento SEO

Posicionamiento SEM

Geo-posicionamiento

Otros servicios

Alojamiento web

Registro de dominios

Mantenimiento Web

Analítica web