Vulnerabilidad en Nginx Cache Purge Preload para WordPress (CVE-2025-6213)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
22/07/2025
Última modificación:
01/08/2025
Descripción
El complemento Nginx Cache Purge Preload para WordPress es vulnerable a la ejecución remota de código en todas las versiones hasta la 2.1.1 incluida, a través de la función 'nppp_preload_cache_on_update'. Esto se debe a una depuración insuficiente del parámetro $_SERVER['HTTP_REFERER'] transferido desde la función 'nppp_handle_fastcgi_cache_actions_admin_bar'. Esto permite que atacantes autenticados, con acceso de administrador o superior, ejecuten código en el servidor.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/psaux-it/nginx-fastcgi-cache-purge-and-preload
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3332176%40fastcgi-cache-purge-and-preload-nginx&new=3332176%40fastcgi-cache-purge-and-preload-nginx#file15
- https://wordpress.org/plugins/fastcgi-cache-purge-and-preload-nginx/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/bbe8c101-5e0a-4ba7-8ff7-4c8ed01e9ef5?source=cve