Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Total Upkeep – WordPress Backup Plugin plus Restore & Migrate de BoldGrid para WordPress (CVE-2025-2257)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
26/03/2025
Última modificación:
22/05/2025

Descripción

El complemento Total Upkeep – WordPress Backup Plugin plus Restore & Migrate de BoldGrid para WordPress es vulnerable a la ejecución remota de código en todas las versiones hasta la 1.16.10 incluida, a través de la configuración compression_level. Esto se debe a que el complemento utiliza la configuración compression_level en proc_open() sin ninguna validación. Esto permite que atacantes autenticados, con acceso de administrador o superior, ejecuten código en el servidor.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:boldgrid:total_upkeep:*:*:*:*:*:wordpress:*:* 1.17.0 (excluyendo)