Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en WP Compress – Instant Performance & Speed Optimization para WordPress (CVE-2025-2109)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
25/03/2025
Última modificación:
27/03/2025

Descripción

El complemento WP Compress – Instant Performance & Speed Optimization para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta la 6.30.15 incluida, a través de la función init(). Esto permite a atacantes no autenticados realizar solicitudes web a ubicaciones arbitrarias desde la aplicación web y utilizarlas para consultar información de servicios internos.