La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el martes adicional dos fallas de seguridad que afectan a Gladinet y Control Web Panel (CWP) y sus vulnerabilidades conocidas explotadas ( KEV ), en el que se citan pruebas de explotación activa en la naturaleza.
Las vulnerabilidades en cuestión se enumeran a continuación -
- CVE-2025-11371 (Puntuación CVSS: 7,5): una vulnerabilidad en los archivos o directorios accesibles a terceros en Gladinet CentreStack y Triofox que podría provocar la divulgación involuntaria de los archivos del sistema.
- CVE-2025-48703 (Puntuación CVSS: 9.0): una vulnerabilidad de inyección de comandos del sistema operativo en el Panel web de control (anteriormente llamado CentOS Web Panel) que provoca la ejecución remota de código no autenticado mediante metacaracteres del shell en el parámetro t_total de una solicitud ChangePerm del administrador de archivos.
El desarrollo se produce semanas después de que la empresa de ciberseguridad Huntress dijo detectó intentos de explotación activos dirigidos contra el CVE-2025-11371, y actores de amenazas desconocidos aprovecharon la falla para ejecutar comandos de reconocimiento (por ejemplo, ipconfig /all) transmitidos en forma de una carga útil codificada en Base64.
Sin embargo, actualmente no hay informes públicos sobre cómo se está utilizando el CVE-2025-48703 como arma en ataques en el mundo real. Sin embargo, el investigador de seguridad Maxime Rinaudo dio a conocer los detalles técnicos de la falla en junio de 2025, poco después de que se corrigiera en la versión 0.9.8.1205 tras su publicación responsable el 13 de mayo.
«Permite a un atacante remoto que conoce un nombre de usuario válido en una instancia de CWP ejecutar comandos arbitrarios preautenticados en el servidor», dijo Rinaudo dijo .
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones necesarias antes del 25 de noviembre de 2025 para proteger sus redes.
La adición de las dos fallas al catálogo de KEV se debe a los informes de Wordfence sobre la explotación de vulnerabilidades de seguridad críticas que afectan a tres complementos y temas de WordPress:
- CVE-2025-11533 (Puntuación CVSS: 9,8): una vulnerabilidad de escalamiento de privilegios en WP Freeio que permite a un atacante no autenticado concederse privilegios administrativos especificando un rol de usuario durante el registro.
- CVE-2025-5397 (Puntuación CVSS: 9,8): una vulnerabilidad para eludir la autenticación en Noo JobMonster que permite a los atacantes no autenticados eludir la autenticación estándar y acceder a las cuentas de usuario administrativas, siempre que el inicio de sesión social esté habilitado en un sitio.
- CVE-2025-11833 (Puntuación CVSS: 9,8): la falta de comprobaciones de autorización en Post SMTP permite a un atacante no autenticado ver los registros de correo electrónico, incluidos los correos electrónicos para restablecer contraseñas, y cambiar la contraseña de cualquier usuario, incluido un administrador, lo que permite apoderarse del sitio.
Se recomienda a los usuarios de sitios de WordPress que confíen en los complementos y temas antes mencionados que los actualicen a la última versión lo antes posible, usen contraseñas seguras y auditen los sitios para detectar signos de malware o la presencia de cuentas inesperadas.