Vulnerabilidad en Simple History para WordPress (CVE-2025-5760)

El complemento Simple History para WordPress es vulnerable a la exposición de datos confidenciales mediante el Modo Detective debido a una depuración incorrecta de la función append_debug_info_to_context() en versiones anteriores a la 5.8.1. Cuando el Modo Detective está habilitado, el registrador del complemento captura todo el contenido de $_POST (y, en ocasiones, los cuerpos de las solicitudes sin procesar o $_GET) sin ocultar ninguna clave relacionada con la contraseña. Como resultado, cada vez que un usuario envía un formulario de inicio de sesión, ya sea mediante wp_login nativo o un widget de inicio de sesión de terceros, su contraseña real se escribe en texto plano en los registros. Un atacante autenticado o cualquier usuario cuyas acciones generen un evento de inicio de sesión registrará su contraseña; un administrador (o cualquier persona con acceso de lectura a la base de datos) puede entonces leer esos registros y recuperar todas las contraseñas capturadas.