Vulnerabilidad en Featured Image from URL (FIFU) de marceljm (CVE-2025-13393)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
10/01/2026
Última modificación:
13/01/2026
Descripción
El plugin Featured Image from URL (FIFU) para WordPress es vulnerable a la falsificación de petición del lado del servidor en todas las versiones hasta la 5.3.1, inclusive. Esto se debe a una validación insuficiente de las URLs proporcionadas por el usuario antes de pasarlas a la función getimagesize() en la integración del widget de Elementor. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, realicen peticiones web a ubicaciones arbitrarias originadas desde la aplicación web y puede usarse para consultar y modificar información de servicios internos a través del parámetro fifu_input_url en el widget FIFU de Elementor, siempre que tengan permisos para usar Elementor.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/featured-image-from-url/trunk/elementor/widgets/widget.php#L121
- https://plugins.trac.wordpress.org/browser/featured-image-from-url/trunk/elementor/widgets/widget.php#L94
- https://plugins.trac.wordpress.org/changeset/3428744/
- https://research.cleantalk.org/cve-2025-13393/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/b7115070-b84d-4d69-993a-f512b9f9c081?source=cve