La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el martes dos fallas de seguridad que afectan a Gladinet y Control Web Panel (CWP) a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza.
Las vulnerabilidades en cuestión se enumeran a continuación:
- CVE-2025-11371 (Puntuación CVSS: 7,5): una vulnerabilidad en archivos o directorios accesibles a terceros en Gladinet CentreStack y Triofox que podría resultar en la divulgación no intencionada de archivos del sistema.
- CVE-2025-48703 (Puntuación CVSS: 9.0): una vulnerabilidad de inyección de comandos del sistema operante en Control Web Panel (anteriormente CentOS Web Panel) que resulta en la ejecución remota de código no autenticado a través de metacaracteres de shell en el parámetro t_total en una solicitud changePerm del administrador de archivos.
El expansión se produce semanas posteriormente de que la empresa de ciberseguridad Huntress dijera que detectó intentos de explotación activa dirigidos a CVE-2025-11371, con actores de amenazas desconocidos aprovechando la descompostura para ejecutar comandos de inspección (por ejemplo, ipconfig /all) pasados en forma de una carga útil codificada en Base64.
Sin secuestro, actualmente no hay informes públicos sobre cómo CVE-2025-48703 se está utilizando como armamento en ataques del mundo existente. Sin secuestro, los detalles técnicos de la descompostura fueron compartidos por el investigador de seguridad Maxime Rinaudo en junio de 2025, poco posteriormente de que se parcheara en la interpretación 0.9.8.1205 luego de una divulgación responsable el 13 de mayo.
«Permite a un atacante remoto que conoce un nombre de becario válido en una instancia de CWP ejecutar comandos arbitrarios previamente autenticados en el servidor», dijo Rinaudo.
A la luz de la explotación activa, las agencias del Poder Ejecutor Civil Federal (FCEB) deben aplicar las correcciones necesarias ayer del 25 de noviembre de 2025 para proteger sus redes.
La aditamento de las dos fallas al catálogo KEV sigue a los informes de Wordfence sobre la explotación de vulnerabilidades de seguridad críticas que afectan a tres complementos y temas de WordPress:
- CVE-2025-11533 (Puntuación CVSS: 9,8): una vulnerabilidad de subida de privilegios en WP Freeio que hace posible que un atacante no autenticado se otorgue privilegios administrativos especificando una función de becario durante el registro.
- CVE-2025-5397 (Puntuación CVSS: 9,8): una vulnerabilidad de omisión de autenticación en Noo JobMonster que hace posible que atacantes no autenticados eludan la autenticación habitual y accedan a cuentas de usuarios administrativos, suponiendo que el inicio de sesión social esté adaptado en un sitio.
- CVE-2025-11833 (Puntuación CVSS: 9,8): error de controles de autorización en Post SMTP que hace posible que un atacante no autenticado vea registros de correo electrónico, incluidos los correos electrónicos de restablecimiento de contraseña, y cambie la contraseña de cualquier becario, incluido un administrador, lo que permite tomar el control del sitio.
Se recomienda a los usuarios de sitios de WordPress que dependen de los complementos y temas ayer mencionados que los actualicen a la última interpretación lo ayer posible, utilicen contraseñas seguras y auditen los sitios en búsqueda de signos de malware o la presencia de cuentas inesperadas.
