¡CISA advierte! Nuevos fallos en Gladinet, el panel de control web y WordPress exponen los sistemas.

Redazione RHC : 5 noviembre 2025 07:58

Dos vulnerabilidades relacionadas con Gladinet y el Panel de Control Web (CWP) se han añadido al catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EE. UU., debido a informes de explotación activa.

Debido al uso intensivo, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben tomar las medidas necesarias para salvaguardar sus redes antes del 25 de noviembre de 2025.

Los errores incluidos en el catálogo KEV son los siguientes:

• CVE-2025-11371 (Puntuación CVSS: 7.5) – Una vulnerabilidad en archivos o directorios accesibles externamente en Gladinet CentreStack y Triofox que podría conducir a la divulgación no intencionada de archivos del sistema.
• CVE-2025-48703 (puntuación CVSS: 9.0) – Una vulnerabilidad de inyección de comandos del sistema operativo en Control Web Panel (anteriormente CentOS Web Panel) conduce a la ejecución remota de código no autenticado a través de metacaracteres de shell en el parámetro t_total en una solicitud changePerm del administrador de archivos.

Se han añadido tres fallos de seguridad críticos más a tres plugins y temas de WordPress.

Por lo tanto, se recomienda a los usuarios de sitios WordPress que utilizan los plugins y temas mencionados que los actualicen a la última versión lo antes posible, utilicen contraseñas seguras y supervisen sus sitios en busca de signos de malware o la presencia de cuentas inesperadas.

• CVE-2025-11533 (puntuación CVSS: 9.8) – Una vulnerabilidad de escalada de privilegios en WP Freeio que permite a un atacante no autenticado otorgarse privilegios administrativos especificando un rol de usuario durante el registro.
• CVE-2025-5397 (puntuación CVSS: 9.8) – Una vulnerabilidad de omisión de autenticación en Noo JobMonster que permite a atacantes no autenticados eludir la autenticación estándar y acceder a cuentas de usuario administrativas, suponiendo que el inicio de sesión social esté habilitado en un sitio.
• CVE-2025-11833 (Puntuación CVSS: 9.8) – La falta de comprobaciones de autorización en Post SMTP permite que un atacante no autenticado vea los registros de correo electrónico, incluidos los correos electrónicos de restablecimiento de contraseña, y cambie la contraseña de cualquier usuario, incluido un administrador, lo que permite la toma de control del sitio.

Este desarrollo se produce apenas unas semanas después de que la empresa de ciberseguridad Huntress dijera que había detectado intentos de explotación activos dirigidos a CVE-2025-11371, con actores de amenazas desconocidos explotando la falla para ejecutar comandos de reconocimiento (por ejemplo, ipconfig /all) transmitidos como una carga útil codificada en Base64.

Actualmente, no existen informes públicos sobre el uso de CVE-2025-48703 en ataques reales. Los detalles técnicos de la vulnerabilidad fueron divulgados por el investigador de seguridad Maxime Rinaudo en junio de 2025. Esta divulgación se produjo poco después de la aplicación del parche en la versión 0.9.8.1205, tras una notificación responsable el 13 de mayo.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli