Vulnerabilidad en Uncanny Automator para WordPress (CVE-2025-3623)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
14/05/2025
Última modificación:
12/08/2025
Descripción
El complemento Uncanny Automator para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 6.4.0.1 incluida, mediante la deserialización de entradas no confiables en la función automator_api_decode_message(). Esto permite a atacantes autenticados, con acceso de suscriptor o superior, inyectar un objeto PHP. La presencia adicional de una cadena POP permite a los atacantes eliminar archivos arbitrarios.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:uncannyowl:uncanny_automator:*:*:*:*:*:wordpress:*:* | 6.4.0.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://automatorplugin.com/knowledge-base/uncanny-automator-changelog/#6-4-0-2-2025-04-18
- https://plugins.trac.wordpress.org/browser/uncanny-automator/trunk/src/core/lib/helpers/class-automator-recipe-helpers.php#L540
- https://plugins.trac.wordpress.org/changeset/3276577/uncanny-automator/trunk/src/core/lib/helpers/class-automator-recipe-helpers.php
- https://wordpress.org/plugins/uncanny-automator/#developers
- https://www.wordfence.com/threat-intel/vulnerabilities/id/00bcfd8f-9785-449a-a0ea-16e2583d684a?source=cve