Los actores de amenazas están explotando activamente una falla de seguridad crítica que afecta el tema de WordPress de Service Finder y que les permite obtener acceso no autorizado a cualquier cuenta, incluidos los administradores, y tomar el control de sitios vulnerables.
La vulnerabilidad de omisión de autenticación, rastreada como CVE-2025-5947 (puntuación CVSS: 9,8), afecta a Service Finder Bookings, un complemento de WordPress incluido con el tema Service Finder. Fue descubierto por un investigador llamado Foxyyy.
«Esta vulnerabilidad permite a un atacante no autenticado obtener acceso a cualquier cuenta del sitio, incluidas las cuentas con el rol de ‘administrador'», dijo el investigador de Wordfence Istvan Marton.
El núcleo de este problema es un caso de escalada de privilegios debido a la omisión de autenticación, ya que el complemento no valida correctamente el valor de la cookie del usuario antes de iniciar sesión a través de la funcionalidad de cambio de cuenta (service_finder_switch_back()).
Como resultado, un atacante no autenticado podría aprovechar este comportamiento al iniciar sesión en un sitio como cualquier usuario, incluido un administrador, tomar control del sitio y usarlo con fines ilícitos, como inyectar código malicioso para redirigir a los usuarios a un sitio falso o utilizar el sitio para alojar malware.
Este inconveniente afecta a todas las versiones del tema anteriores a la 6.0. El administrador del complemento solucionó este problema el 17 de julio de 2025 con el lanzamiento de la versión 6.1. Según los datos de Envato Market, este tema se ha vendido a más de 6100 clientes.
La firma de seguridad de WordPress dijo que ha estado observando actividad de exploits dirigidos a CVE-2025-5947 desde el 1 de agosto de 2025 y ha detectado más de 13.800 intentos hasta la fecha. Sin embargo, la tasa de éxito de estos esfuerzos no está clara actualmente.
Se han observado las siguientes direcciones IP dirigidas a la funcionalidad de cambio de cuenta del complemento de reservas de Service Finder:
5.189.221.98 185.109.21.157 192.121.16.196 194.68.32.71 178.125.204.198
Recomendamos que los administradores auditen sus sitios en busca de signos de actividad sospechosa y se aseguren de que todos los complementos y temas estén ejecutando las últimas versiones.
Source link
