Vulnerabilidad en WordPress Pie Register (CVE-2025-34077)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
09/07/2025
Última modificación:
10/07/2025
Descripción
Existe una vulnerabilidad de omisión de autenticación en el complemento de WordPress Pie Register (versión ? 3.7.1.4) que permite a atacantes no autenticados suplantar la identidad de usuarios arbitrarios mediante el envío de una solicitud POST manipulada al endpoint de inicio de sesión. Al establecer social_site=true y manipular el parámetro user_id_social_site, un atacante puede generar una cookie de sesión de WordPress válida para cualquier ID de usuario, incluidos los administradores. Una vez autenticado, el atacante puede explotar la funcionalidad de carga del complemento para instalar un complemento malicioso con código PHP arbitrario, lo que provoca la ejecución remota de código en el servidor subyacente.
Impacto
Puntuación base 4.0
10.00
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/GTSolutions/Pie-Register
- https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/unix/webapp/wp_pie_register_bypass_rce.rb
- https://pieregister.com/
- https://vulncheck.com/advisories/wordpress-pie-register-plugin-rce
- https://wordpress.org/plugins/pie-register/
- https://www.exploit-db.com/exploits/50395