Actualización de seguridad (CVE-2025-14166): WPMasterToolKit 2.13.1

Tras un informe de Equipo de plugins de WordPress e investigadores de Wordfence (CVE-2025-14166), se ha identificado una vulnerabilidad en el Fragmentos de código de WPMasterToolKit (versiones ≤ 2.13.0).

Este módulo permitía a los usuarios con Colaborador (y superiores) para añadir y ejecutar código PHP, lo que podría conducir a una elevación de privilegios.
⚠️ Esto podría ser explotado sólo si el módulo Code Snippets había sido activado previamente por un administrador y ya tenía acceso Colaborador o superior.

✔️ Corregido en la versión 2.13.1

Para eliminar cualquier riesgo :

El acceso al módulo Fragmentos de código está ahora estrictamente reservado a los administradores.
Las funciones de WordPress se han revisado para forzar permiso manage_options en todas las acciones relacionadas con fragmentos

Modificación aplicada :

'capability_type'       => 'page',
'capabilities'          => array(
    'edit_post'          => 'manage_options',
    'read_post'          => 'manage_options',
    'delete_post'        => 'manage_options',
    'edit_posts'         => 'manage_options',
    'edit_others_posts'  => 'manage_options',
    'publish_posts'      => 'manage_options',
    'read_private_posts' => 'manage_options',
),

Descubra el módulo :

Pro

Sin activación/desactivación/eliminación de plugins

🔎 Controles adicionales en curso

De acuerdo con los requisitos de WordPress.org :

Se está realizando una auditoría completa de los permisos de todos los módulos
Nuestro código se someterá a un Comprobación de plugins para garantizar el máximo cumplimiento de las normas de desarrollo y seguridad de WordPress

🛡️ Lo que hay que hacer

Si utiliza WPMasterToolKit :

✔️ Actualice su plugin mediante 2.13.1 o superior
⚠️ Si se ha activado el módulo Fragmentos de código, compruebe que ningún usuario no administrador haya añadido fragmentos sospechosos.

Starter

3^.50$

/Mes

Business

6^.70$

/Mes

Freelance

11^.00$

/Mes

Agency

28^.00$

/Mes

🙏 Gracias a la comunidad de seguridad

Queremos dar las gracias a :

El equipo de plugins de WordPress.org
Los investigadores de Wordfence que identificaron y documentaron el fallo

Nuestra prioridad es y seguirá siendo seguridad Sitios WordPress utilizando WPMasterToolKit.

👋 ¿Una pregunta, una duda, una alerta de seguridad?
Nuestro equipo sigue disponible a través del soporte de WordPress.org o de nuestro sitio web oficial.

Mantengámonos alerta, mantengámonos a salvo. 🔒🚀