Vulnerabilidad en WP Last Modified Info (CVE-2025-14608)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/02/2026
Última modificación:
18/02/2026
Descripción
El plugin WP Last Modified Info para WordPress es vulnerable a Referencia Directa Insegura a Objeto en todas las versiones hasta la 1.9.5, inclusive. Esto se debe a que el plugin no valida el acceso de un usuario a una publicación antes de modificar sus metadatos en la acción AJAX 'bulk_save'. Esto hace posible que atacantes autenticados, con acceso de nivel Autor o superior, actualicen los metadatos de última modificación y bloqueen la fecha de modificación de publicaciones arbitrarias, incluyendo aquellas creadas por Administradores a través del parámetro 'post_ids'.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/iamsayan/wp-last-modified-info/commit/cb3586897c11c3cd55dd63b7ae963243a027c0be
- https://plugins.trac.wordpress.org/browser/wp-last-modified-info/tags/1.9.5/inc/Core/Backend/EditScreen.php#L249
- https://plugins.trac.wordpress.org/browser/wp-last-modified-info/trunk/inc/Core/Backend/EditScreen.php#L249
- https://plugins.trac.wordpress.org/changeset/3450167/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/ca94c815-488f-4d86-a642-39d2de803763?source=cve