Ciberseguridad 360 | Vulnerabilidad de omisión de autenticación en el tema Service Finder de WordPress

Los agentes de amenanza est�n explotando activamente una vulnerabilidad cr�tica en el tema Service Finder de WordPress que les permite eludir la autenticaci�n e iniciar sesi�n como administradores.

Los privilegios de administrador en WordPress otorgan control total sobre el contenido y la configuraci�n, permiso para crear cuentas, cargar archivos PHP y exportar bases de datos.

La empresa de seguridad de plugins de WordPress Wordfence registr� m�s de 13 800 intentos de explotaci�n desde el 1 de agosto.

Service Finder es un tema premium de WordPress dise�ado para sitios web de directorios de servicios y bolsas de trabajo. Admite reservas de clientes, comentarios, gesti�n de franjas horarias, gesti�n de personal, generaci�n de facturas y un sistema de pago.

El tema tiene m�s de 6000 ventas en Envato Market y, como la mayor�a de los plugins premium, suele ser utilizado por sitios activos.

La vulnerabilidad explotada en los �ltimos ataques se ha registrado como CVE-2025-5947 y tiene una puntuaci�n de gravedad cr�tica de 9,8. Afecta a las versiones 6.0 y anteriores de Service Finder, y se debe a una validaci�n incorrecta de la cookie original_user_id en la funci�n service_finder_switch_back().

Un atacante que aproveche CVE-2025-5947 puede iniciar sesi�n como cualquier usuario, incluidos los administradores, sin necesidad de autenticaci�n.

El problema fue descubierto por el investigador de seguridad "Foxyyy", que lo notific� a trav�s del programa de recompensa por errores de Wordfence el 8 de junio.

Aonetheme, el proveedor del tema, solucion� el problema de seguridad en la versi�n 6.1, lanzada el 17 de julio. A finales de mes, el problema se hizo p�blico y al d�a siguiente comenzaron los ataques.

Durante aproximadamente una semana, desde el 23 de septiembre, Wordfence observ� un aumento de m�s de 1500 intentos de ataque cada d�a. En total, los investigadores detectaron m�s de 13 800 intentos de explotaci�n.

Volumen de ataques dirigidos a CVE-2025-5947

Fuente: Wordfence

Seg�n las observaciones de Wordfence, un ataque t�pico incluye una solicitud HTTP GET a la ruta ra�z con un par�metro de consulta (switch_back=1) para suplantar la identidad de un usuario existente.

Los investigadores afirman que hay varias direcciones IP utilizadas para lanzar los ataques. Sin embargo, miles de solicitudes de ataque se originaron en solo cinco de ellas:

5.189.221.98
185.109.21.157
192.121.16.196
194.68.32.71
178.125.204.198

Como parte de las medidas de defensa contra estos ataques, se han bloqueado las direcciones IP anteriores. Sin embargo, cabe se�alar que los atacantes pueden cambiar a otras nuevas.

Los investigadores afirman que no hay indicadores claros de compromiso para detener estos ataques, aparte de las solicitudes que contienen el par�metro "switch_back".

Los administradores de sitios web deben revisar todos los registros en busca de actividades sospechosas o cuentas que los actores maliciosos puedan crear para persistir.

Wordfence advierte que "la ausencia de entradas de registro de este tipo no garantiza que su sitio web no haya sido comprometido", ya que el acceso de administrador permite a los atacantes borrar sus huellas eliminando los registros u otras pruebas.

Dado el estado de explotaci�n activa de CVE-2025-5947, se recomienda a los usuarios del tema Service Finder que apliquen la actualizaci�n de seguridad lo antes posible o dejen de utilizar el plugin.

Fuente: bleepingcomputer