Resumen ejecutivo

Se ha identificado y comunicado un exploit activo que permite omitir los controles de autenticación en instalaciones que usan el tema Service Finder de WordPress. La falla posibilita el acceso no autorizado a cuentas de cualquier nivel —incluidos usuarios con privilegios administrativos— y, por ende, la toma completa del control de sitios vulnerables. La vulnerabilidad fue catalogada como CVE-2025-5947 y alcanza una severidad crítica (CVSS 9.8).

Descripción técnica del fallo

La raíz del problema yace en el componente Service Finder Bookings (plugin empaquetado con el tema), donde una rutina de cambio de sesión (service_finder_switch_back()) no valida correctamente el contenido e integridad de la cookie de sesión antes de proceder a realizar un switch de cuenta. En términos técnicos, esto constituye una evasión de autenticación que deriva en escalada de privilegios: una entidad no autenticada puede forzar el proceso de inicio de sesión en nombre de cualquier usuario válido.

El vector de explotación aprovecha la falta de comprobaciones en el valor de la cookie (ausencia de verificación criptográfica / firma o controles de vinculación con sesión) para injertar una identidad de usuario arbitraria en el flujo de autenticación. Consecuentemente, un adversario remoto puede obtener sesión con permisos elevados y ejecutar acciones administrativas: implantar payloads PHP, modificar reglas de reescritura, añadir usuarios con rol administrator o desplegar redirecciones maliciosas y artefactos de distribución de malware.

Alcance y versiones afectadas

  • Afecta a todas las versiones del tema Service Finder hasta 6.0 inclusive.
  • La corrección fue publicada por los mantenedores del plugin el 17 de julio de 2025 mediante la versión 6.1 del paquete.
  • Según datos de Envato Market, el tema ha sido distribuido a más de 6 100 compradores, lo que determina una base de exposición significativa en instalaciones WordPress donde no se han aplicado actualizaciones.

Observaciones de explotación en el terreno (telemetría)

Investigadores y empresas de seguridad —entre ellas Wordfence— han reportado actividad de explotación dirigida a CVE-2025-5947 desde el 1 de agosto de 2025. Se han contabilizado >13 800 intentos de interacción con la función vulnerable. La eficacia real de esos intentos (tasa de éxito) no ha sido plenamente cuantificada públicamente.

Se han identificado direcciones IP que realizan peticiones hacia la funcionalidad de cambio de cuenta del plugin (lista observada):

  • 5.189.221.98
  • 185.109.21.157
  • 192.121.16.196
  • 194.68.32.71
  • 178.125.204.198

Estas IP deben considerarse en el análisis de logs y corrrelación con IoCs para la detección de actividad maliciosa relacionada.

Impacto operativo y riesgos

  • Compromiso total del sitio: una explotación exitosa permite control administrativo remoto.
  • Persistencia y escalada: instalación de puertas traseras en el filesystem o la base de datos, cronjobs maliciosos y cuentas persistentes.
  • Distribución de malware: uso del sitio como proxie/host para payloads o phishing.
  • Pérdida de integridad y disponibilidad: modificación de contenidos, bloqueo de accesos legítimos, o demanda de rescate.
  • Impacto reputacional y cumplimiento: exposición de datos personales y riesgos regulatorios según marcos locales.

Recomendaciones operativas (acciones inmediatas y mitigación)

Acciones urgentes (para administradores de sitios):

  1. Aplicar la actualización a la versión 6.1 del tema / plugin Service Finder Bookings sin demora en todos los entornos (producción y preproducción).
  2. Revisar y endurecer las sesiones y cookies: habilitar firma/validación de cookies (cuando sea posible) y reducir su caducidad.
  3. Auditoría de cuentas: comprobar la existencia de usuarios administrativos no autorizados y eliminar credenciales sospechosas; rotar contraseñas privilegiadas.
  4. Análisis de integridad: comparar el árbol de archivos del sitio con backups/instalaciones limpias para detectar ficheros PHP añadidos o modificados.
  5. Revisión de logs: inspeccionar registros HTTP, registros de autenticación y accesos a service_finder_switch_back() correlacionando con las IP listadas; conservar evidencia para DFIR.
  6. Poner en cuarentena o bloquear las IPs identificadas a nivel de WAF / firewall de aplicación web si persiste actividad maliciosa.

Medidas recomendadas a mediano plazo:

  • Implementar un WAF que proteja endpoints sensibles y aplique reglas de virtual patching hasta asegurar la aplicación.
  • Habilitar detención y respuesta (EDR) en servidores y elevar el monitoreo de integridad de ficheros.
  • Mantener un programa de gestión de vulnerabilidades y actualización regular de temas/plugins mediante entornos de staging.
  • Realizar escaneos de seguridad automatizados y pruebas de penetración periódicas.
  • Asegurar copias de respaldo consistentes y verificadas, con retención offline y procesos de restauración probados.

Conclusión

CVE-2025-5947 constituye una vulnerabilidad crítica de omisión de autenticación en un componente ampliamente empaquetado con el tema Service Finder. Dada la facilidad de explotación remota y la severidad (CVSS 9.8), los administradores deben priorizar la actualización a la versión corregida (6.1), ejecutar auditorías de compromisos y aplicar controles de defensa en profundidad para mitigar el riesgo de compromiso y abuso del sitio.

Fuente thehackernews[.]com

You May Also Like

Grave hackeo expone datos personales de miles en el Perú

HKN FEED

Seis gobiernos usan el software espía Paragon para hackear aplicaciones de mensajería.

HKN FEED

El Instituto SANS advierte sobre nuevos ataques de ransomware nativos de la nube

HKN FEED