Vulnerabilidad en WP Compress – Instant Performance & Speed Optimization para WordPress (CVE-2025-2109)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
25/03/2025
Última modificación:
27/03/2025
Descripción
El complemento WP Compress – Instant Performance & Speed Optimization para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta la 6.30.15 incluida, a través de la función init(). Esto permite a atacantes no autenticados realizar solicitudes web a ubicaciones arbitrarias desde la aplicación web y utilizarlas para consultar información de servicios internos.
Impacto
Puntuación base 3.x
5.80
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wp-compress-image-optimizer/tags/6.30.15/wp-compress-core.php#L994
- https://plugins.trac.wordpress.org/changeset/3254259/
- https://wordpress.org/plugins/wp-compress-image-optimizer/#developers
- https://www.wordfence.com/threat-intel/vulnerabilities/id/10b9d703-de9d-472a-bdfb-bc9a41bf375e?source=cve