La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el martes dos fallas de seguridad que afectan a Gladinet y Control WebPanel (CWP) a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación en el mundo real.
Las vulnerabilidades en cuestión son las siguientes.
CVE-2025-11371 (Puntuación CVSS: 7,5): existe una vulnerabilidad en un archivo o directorio accesible externamente en Gladinet CentreStack y Triofox que podría provocar la divulgación involuntaria de archivos del sistema. CVE-2025-48703 (Puntuación CVSS: 9.0): una vulnerabilidad de inyección de comandos del sistema operativo en el Panel web de control (anteriormente Panel web CentOS) permite la ejecución remota de código no autenticado a través de un metacarácter de shell en el parámetro t_total de una solicitud changePerm del administrador de archivos.
Este desarrollo se produce semanas después de que la firma de ciberseguridad Huntress anunciara que había detectado un intento de explotación activa dirigido a CVE-2025-11371, en el que un atacante desconocido está aprovechando la falla para ejecutar comandos de reconocimiento (por ejemplo, ipconfig /all) pasados en forma de una carga útil codificada en Base64.
Sin embargo, actualmente no hay informes publicados sobre cómo CVE-2025-48703 se está utilizando como arma en ataques del mundo real. Sin embargo, los detalles técnicos de esta falla fueron compartidos por el investigador de seguridad Maxime Rinaudo en junio de 2025, poco después de que fuera parcheada con la versión 0.9.8.1205 luego de una divulgación responsable el 13 de mayo.
«Esto permite a un atacante remoto que conoce un nombre de usuario válido en una instancia de CWP ejecutar comandos arbitrarios previamente autenticados en el servidor», dijo Rinaudo.
En vista de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 25 de noviembre de 2025 para aplicar las correcciones necesarias para proteger sus redes.
La adición de las dos fallas al catálogo KEV sigue a un informe de Wordfence sobre la explotación de una vulnerabilidad de seguridad crítica que afecta a tres complementos y temas de WordPress.
CVE-2025-11533 (Puntuación CVSS: 9,8): una vulnerabilidad de escalada de privilegios en WP Freeio permite a un atacante no autenticado otorgarse privilegios administrativos especificando una función de usuario durante el registro. CVE-2025-5397 (Puntuación CVSS: 9,8): la vulnerabilidad de omisión de autenticación en Noo JobMonster permite a atacantes no autenticados omitir la autenticación estándar y obtener acceso a cuentas de usuarios administrativos, suponiendo que el inicio de sesión social esté habilitado en un sitio. CVE-2025-11833 (puntuación CVSS: 9,8): la falta de verificación de autenticación en Post SMTP permite a atacantes no autenticados ver registros de correo electrónico, incluidos correos electrónicos de restablecimiento de contraseña, y cambiar las contraseñas de usuarios arbitrarios, incluidos administradores, y apoderarse del sitio.
Se recomienda a los usuarios de sitios de WordPress que dependen de los complementos y temas antes mencionados que actualicen a las últimas versiones lo antes posible, utilicen contraseñas seguras y auditen sus sitios en busca de signos de malware o la presencia de cuentas inesperadas.
Source link
