El popular plugin Anti‑Malware Security and Brute‑Force Firewall para WordPress presenta la vulnerabilidad CVE-2025-11705, que permite la lectura arbitraria de archivos en el servidor por parte de usuarios autenticados con permisos mínimos. El complemento supera las 100 000 instalaciones, pero los datos de adopción del parche indican que solo alrededor de la mitad de los administradores han actualizado a tiempo, dejando un número significativo de sitios expuestos.
Cómo opera el fallo: falta de autorización en un handler AJAX
La debilidad afecta a las versiones 4.23.81 y anteriores y reside en el manejador AJAX GOTMLS_ajax_scan(). El proceso no realiza un capability check (verificación de permisos) y confía únicamente en un nonce de WordPress. Dado que el nonce puede ser obtenido y reutilizado por cualquier cuenta autenticada, incluidos perfiles de suscriptor, es posible invocar el handler y leer el contenido de archivos arbitrarios en el sistema. Este patrón se alinea con la categoría CWE‑862 (Missing Authorization), frecuente en integraciones AJAX mal implementadas.
Por qué wp-config.php es el blanco prioritario
El archivo wp-config.php contiene credenciales de la base de datos y keys/salts de autenticación. Si un atacante accede a este fichero, puede:
• Conectarse a la base de datos y extraer hashes de contraseñas para ataques de crackeo offline.
• Obtener claves y sales para facilitar la suplantación de sesiones.
• Exfiltrar emails, borradores y contenido sensible con fines de phishing o ingeniería social.
• Escalar a control total del sitio si combina la información con contraseñas débiles u otras vulnerabilidades.
Alcance, cronología y estado del parche
El investigador Dmitry Ignatyev reportó el fallo mediante un programa de bug bounty, tras lo cual Wordfence notificó a los desarrolladores el 14 de octubre de 2025. El 15 de octubre se publicó la versión 4.23.83 con una corrección que introduce GOTMLS_kill_invalid_user() para validar permisos antes de ejecutar operaciones sensibles. Según cifras de WordPress.org, el parche suma en torno a 50 000 descargas, dejando un volumen comparable de instalaciones aún vulnerables.
Hasta la fecha, no se han documentado campañas activas que exploten CVE-2025-11705. No obstante, la divulgación pública suele acelerar la explotación por parte de actores oportunistas, especialmente en sitios con registro abierto.
Mitigación prioritaria y buenas prácticas de hardening en WordPress
Actualice de inmediato a Anti‑Malware Security 4.23.83 o superior. Este es el único mecanismo fiable para neutralizar el vector. Aunque se requiere autenticación, cualquier portal con alta de usuarios habilitada queda expuesto a que un atacante cree cuenta y abuse del handler vulnerable.
Medidas adicionales recomendadas:
• Restringir o moderar el registro de usuarios (verificación por email y reCAPTCHA).
• Rotar credenciales de la base de datos y regenerar AUTH_KEY y SALT si sospecha de exposición; invalidar todas las sesiones activas.
• Endurecer el acceso a wp-config.php desde el servidor web y limitar la lectura de archivos por el proceso de PHP al mínimo necesario.
• Revisar logs (servidor web, WordPress y plugins de seguridad) para detectar patrones inusuales de solicitudes AJAX al endpoint afectado; considere reglas WAF que verifiquen permisos más allá del nonce.
• Aplicar el principio de mínimos privilegios, eliminar plugins no utilizados y mantener actualizaciones automáticas del núcleo y extensiones.
La lección clave es estructural: en integraciones AJAX, el nonce no sustituye a la verificación de capacidades. Adoptar revisiones de seguridad en el ciclo de vida del desarrollo, pruebas de autorización negativas y auditorías periódicas evita que fallos de control de acceso comprometan activos críticos como wp-config.php. Actúe hoy: actualice, refuerce la configuración y monitoree su entorno para reducir la superficie de ataque y preservar la integridad de su sitio WordPress.
