¡Atención, vulnerabilidad a la vista! Esta vulnerabilidad afecta a la seguridad de miles de sitios WordPress: el plugin Drag and Drop Multiple File Upload for WooCommerce ha sido identificado por contener una vulnerabilidad crítica que ya está siendo explotada activamente. Según Wordfence, más de 6.000 sitios podrían estar en riesgo. Si usas este plugin en tu tienda online, sigue leyendo: esto te interesa.
¿Te explico la vulnerabilidad un poco más?
El fallo, registrado como CVE-2025-2941, permite a atacantes no autenticados mover archivos a su antojo dentro del servidor. ¿Qué significa eso en la práctica? Que podrían sobrescribir archivos importantes, inyectar malware o incluso tomar el control total de tu web.
Detalles técnicos clave:
-
Plugin afectado: Drag and Drop Multiple File Upload for WooCommerce
-
Versiones vulnerables: hasta la 1.1.4 (inclusive)
-
Gravedad: Crítica (CVSS 9.8)
-
Tipo de ataque: Movimiento arbitrario de archivos sin necesidad de iniciar sesión
-
Descubierto por: Phat RiO
-
Reportado por: Wordfence (28 de marzo de 2025)
¿Qué implica esta vulnerabilidad en Drag and Drop Multiple File Upload for WooCommerce?
Bueno, no hay que ser muy listo para intuir lo que puede hacer, ya que te lo he adelantado antes. Esta brecha permite que cualquier persona, sin necesidad de estar registrada en tu sitio, pueda mover archivos en tu servidor. El alcance es muy serio: podrían desde alterar tu contenido hasta insertar scripts maliciosos o incluso “reventar” por completo tu instalación de WordPress.
¿Qué puedes hacer?
Si tienes este plugin instalado, estos son los pasos urgentes a seguir, que ya he explicado en otras ocasiones.
-
Actualiza el plugin: Revisa si hay una nueva versión posterior a la 1.1.4. Si la hay, actualiza ya mismo.
-
No hay actualización aún? Entonces desactiva o elimina el plugin hasta que sus desarrolladores publiquen una corrección.
-
Revisa tu instalación: Si has usado este plugin, revisa si hay archivos modificados recientemente en tu servidor o si notas comportamientos extraños en tu web.
-
Activa medidas de seguridad adicionales: Si no lo tienes aún, instala un firewall como Wordfence o Sucuri y asegúrate de tener copias de seguridad automáticas y actualizadas.
¿Tienes Wordfence instalado?
Buena noticia: los usuarios de Wordfence Premium recibieron una regla de firewall específica para bloquear esta vulnerabilidad el mismo día en que fue divulgada. Los que usan la versión gratuita la recibirán una semana después.
Este es otro recordatorio de por qué es fundamental mantener WordPress y sus plugins siempre actualizados y por qué nunca debemos instalar extensiones sin verificar su mantenimiento o reputación. Aquí en I.guanna.WP te iré informando de nuevas alertas de seguridad para ayudarte a mantener tu web lo más segura posible. Si tienes dudas sobre cómo revisar si estás afectado o necesitas ayuda para reforzar la seguridad de tu web, déjanos un comentario o contáctanos directamente.
Más info: Wordfence – Vulnerabilidad crítica en Drag and Drop Multiple File Upload
