🚨 ¡Alerta WordPress! Falla crítica en plugin popular expone a más de 5 millones de sitios

Resumen ejecutivo (para decidir en 30 segundos)

• Qué pasó: Se identificó una vulnerabilidad de XSS almacenado que puede inyectar código cuando se importa un respaldo/migración con el plugin.
• Quién puede explotarla: Requiere una cuenta con privilegios de administrador (o una cuenta de admin previamente comprometida). Afecta sólo instalaciones multisite o sitios donde unfiltered_html está desactivado.
• Riesgo: Medio (CVSS 3.1: 4.4 – Wordfence como CNA). Impacto principalmente en integridad/confidencialidad (inyección de scripts, secuestro de sesión, redirecciones, etc.).
• Qué hacer ya: Actualiza a 7.98 o superior desde el Escritorio de WordPress.

¿Qué es CVE-2025-8490 y por qué importa?

CVE-2025-8490 corresponde a una falla de Cross-Site Scripting (XSS) almacenado en el flujo de importación de All-in-One WP Migration and Backup (ServMask). Permite que un administrador inyecte scripts que luego se ejecutan al visitar páginas donde quedó almacenado el payload. En la práctica, esto requiere privilegios de administrador y sólo es relevante en multisite o si unfiltered_html está desactivado, porque en esos escenarios WordPress no permite HTML sin filtrar de forma nativa y la inyección podría saltarse protecciones.

Plugin y versiones afectadas

• Plugin: All-in-One WP Migration and Backup (ServMask).
• Versiones vulnerables: Todas hasta 7.97 (incluida).
• Versión corregida: 7.98 (publicada el 26 de agosto de 2025).

Severidad y vector (para los más técnicos)

• CVSS v3.1 (CNA): 4.4 MEDIUM
• Vector: AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N (ataque por red, complejo, requiere privilegios altos, sin interacción del usuario, scope cambiado; impacto bajo en C e I).

¿Qué podría pasar si no actualizo?

Escenarios probables si un atacante ya tiene o consigue acceso de administrador:

• Inyección de scripts persistentes en áreas del admin o front-end que se rendericen posteriormente.
• Robo de sesión/cookies o acciones en tu nombre si visita la página un usuario con más privilegios (p. ej. super admin en multisite).
• Campañas de redirección o malvertising incrustando JS malicioso.

Nota del desarrollador web plugin: ServMask destaca que sólo un administrador podría explotarla y que han publicado el parche en 7.98, sin evidencia de explotación activa al momento del aviso. Aun así, cerrar la brecha es buena práctica.

¿Quién está realmente en riesgo?

• Multisite: Riesgo mayor (por la gestión de unfiltered_html y la posibilidad de escalar efectos entre sitios de la red).
• Sitios single-site con unfiltered_html desactivado: Riesgo presente.
• Sitios single-site con valores por defecto: Riesgo bajo, pero actualiza igual para mantener el stack al día.

¿Cómo se explota? (sin PoC)

El vector pasa por importar un archivo .wpress especialmente manipulado, con campos que más tarde se guardan y se muestran sin el escape adecuado, provocando la ejecución del script al cargar la página afectada.

¿Cómo comprobar si tu sitio está afectado?

1. Versión del plugin: En Plugins → All-in-One WP Migration and Backup, verifica que sea 7.98 o superior. Si ves 7.97 o anterior, estás vulnerable.
2. Entorno: ¿Tu sitio es multisite? ¿Tienes unfiltered_html desactivado? Si respondes sí a alguno, prioriza la actualización.
3. Historial de importaciones: Si alguien importó un respaldo de origen desconocido/no confiable, revisa páginas/opciones en busca de <script> o cargas sospechosas (redirecciones, iframes externos). (Higiene general recomendada).

Solución oficial (recomendada)

Actualiza a 7.98 o superior:

• Escritorio WordPress → Plugins → Actualizar ahora (o activa auto-actualizaciones para este plugin).

ServMask publicó 7.98 con el arreglo específico para CVE-2025-8490.

Mitigaciones temporales (si no puedes actualizar de inmediato)

• Restringe quién puede importar (cuentas mínimas con rol admin).
• Evita importar archivos .wpress de orígenes no verificados.
• Monitorea actividad de admin y activa 2FA para todas las cuentas privilegiadas.
• WAF/Firewall: reglas de bloqueo ante inyecciones comunes en el admin.
• (Estas medidas no sustituyen la actualización.)

Buenas prácticas de prevención (a futuro)

• Principio de mínimo privilegio: evita múltiples admins; usa Editor/Autor cuando sea suficiente.
• 2FA + rotación de contraseñas para admins.
• Auto-updates para plugins críticos.
• Backups verificados y probados antes de actualizar (y almacenados fuera del servidor).
• Lista blanca de quién puede subir o importar backups.

Cronología de los hechos

• 26 de agosto de 2025: Publicación del registro CVE en NVD; referencia a versiones afectadas y vector.
• 26 de agosto de 2025: ServMask publica 7.98 y su aviso “CVE-2025-8490: What You Need to Know”.
• 27 de agosto de 2025: GitHub Advisory Database refleja el CVE y el vector CVSS (4.4).

Fuentes y referencias

• NVD – CVE-2025-8490 (descripción oficial, vector CVSS) NVD
• ServMask (Helpdesk): “CVE-2025-8490: What You Need to Know” (parche en 7.98, postura del proveedor) ServMask Helpdesk
• Patchstack: ficha técnica (≤7.97 vulnerable, 7.98 fixed, bajo riesgo y requiere admin) Patchstack
• GitHub Advisory Database: resumen, CVSS y referencias técnicas GitHub

¿Necesitas ayuda o quieres que lo hagamos por ti?

Servicio de Seguridad & Protección de Sitios WordPress

• Respuesta a incidentes (contención, erradicación, recuperación).
• Auditoría express del sitio y cuentas con privilegios.
• Revisión de multisite y políticas de unfiltered_html.
• Hardening completo: WAF, bloqueo de ejecución en uploads, políticas de permisos, 2FA.
• Monitoreo proactivo y alertas de integridad.

Servicio de Administración & Mantenimiento WordPress

• Actualizaciones gestionadas (núcleo, plugins, temas) con pruebas previas.
• Automatización de parches y copias de seguridad.
• Backups automáticos verificados y restauración asistida.
• Auditorías mensuales de seguridad y rendimiento.
• Monitorización de actividad y salud del sitio.