{"id":5246,"date":"2025-12-10T08:33:22","date_gmt":"2025-12-10T07:33:22","guid":{"rendered":"https:\/\/wpmastertoolkit.com\/?p=5246"},"modified":"2025-12-10T08:33:25","modified_gmt":"2025-12-10T07:33:25","slug":"mise-a-jour-de-securite-cve-2025-14166-wpmastertoolkit-2-13-1","status":"publish","type":"post","link":"https:\/\/wpmastertoolkit.com\/es\/actualizacion-de-seguridad-cve-2025-14166-wpmastertoolkit-2-13-1\/","title":{"rendered":"Actualizaci\u00f3n de seguridad (CVE-2025-14166): WPMasterToolKit 2.13.1"},"content":{"rendered":"

Tras un informe de Equipo de plugins de WordPress<\/strong> e investigadores de Wordfence<\/strong> (CVE-2025-14166), se ha identificado una vulnerabilidad en el Fragmentos de c\u00f3digo<\/strong> de WPMasterToolKit (versiones \u2264 2.13.0).<\/p>\n\n\n\n

Este m\u00f3dulo permit\u00eda a los usuarios con Colaborador<\/strong> (y superiores) para a\u00f1adir y ejecutar c\u00f3digo PHP, lo que podr\u00eda conducir a una elevaci\u00f3n de privilegios.
\u26a0\ufe0f Esto podr\u00eda ser explotado s\u00f3lo si<\/strong> el m\u00f3dulo Code Snippets hab\u00eda sido activado previamente por un administrador y ya ten\u00eda acceso Colaborador<\/strong> o superior.<\/p>\n\n\n\n

\u2714\ufe0f Corregido en la versi\u00f3n 2.13.1<\/h2>\n\n\n\n

Para eliminar cualquier riesgo :<\/p>\n\n\n\n

    \n
  • El acceso al m\u00f3dulo Fragmentos de c\u00f3digo est\u00e1 ahora estrictamente reservado a los administradores.<\/strong><\/li>\n\n\n\n
  • Las funciones de WordPress se han revisado para forzar permiso manage_options<\/code><\/strong> en todas las acciones relacionadas con fragmentos<\/li>\n<\/ul>\n\n\n\n

    Modificaci\u00f3n aplicada :<\/p>\n\n\n\n

    'capability_type'       => 'page',\n'capabilities'          => array(\n    'edit_post'          => 'manage_options',\n    'read_post'          => 'manage_options',\n    'delete_post'        => 'manage_options',\n    'edit_posts'         => 'manage_options',\n    'edit_others_posts'  => 'manage_options',\n    'publish_posts'      => 'manage_options',\n    'read_private_posts' => 'manage_options',\n),\n<\/code><\/pre>\n\n\n\n
    \ud83d\udd0e Controles adicionales en curso<\/h2>\n\n\n\n
    De acuerdo con los requisitos de WordPress.org :<\/p>\n\n\n\n
      \n
    • Se est\u00e1 realizando una auditor\u00eda completa de los permisos de todos los m\u00f3dulos<\/li>\n\n\n\n
    • Nuestro c\u00f3digo se someter\u00e1 a un Comprobaci\u00f3n de plugins<\/strong> para garantizar el m\u00e1ximo cumplimiento de las normas de desarrollo y seguridad de WordPress<\/li>\n<\/ul>\n\n\n\n
      \ud83d\udee1\ufe0f Lo que hay que hacer<\/h2>\n\n\n\n
      Si utiliza WPMasterToolKit :<\/p>\n\n\n\n
      \u2714\ufe0f Actualice su plugin mediante 2.13.1 o superior<\/strong>
      \u26a0\ufe0f Si se ha activado el m\u00f3dulo Fragmentos de c\u00f3digo, compruebe que ning\u00fan usuario no administrador haya a\u00f1adido fragmentos sospechosos.<\/p>\n\n\n\n
      \ud83d\ude4f Gracias a la comunidad de seguridad<\/h2>\n\n\n\n
      Queremos dar las gracias a :<\/p>\n\n\n\n
        \n
      • El equipo de plugins de WordPress.org<\/li>\n\n\n\n
      • Los investigadores de Wordfence que identificaron y documentaron el fallo<\/li>\n<\/ul>\n\n\n\n
        Nuestra prioridad es y seguir\u00e1 siendo seguridad<\/strong> Sitios WordPress utilizando WPMasterToolKit.<\/p>\n\n\n\n
        \ud83d\udc4b \u00bfUna pregunta, una duda, una alerta de seguridad?
        Nuestro equipo sigue disponible a trav\u00e9s del soporte de WordPress.org o de nuestro sitio web oficial.<\/p>\n\n\n\n
        Manteng\u00e1monos alerta, manteng\u00e1monos a salvo. \ud83d\udd12\ud83d\ude80<\/p>","protected":false},"excerpt":{"rendered":"
        Suite \u00e0 un signalement du WordPress Plugins Team et des chercheurs de Wordfence (CVE-2025-14166), une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans le module Code Snippets de WPMasterToolKit (versions \u2264 2.13.0). Ce module permettait aux utilisateurs avec un r\u00f4le Contributor (et sup\u00e9rieur) d\u2019ajouter et d\u2019ex\u00e9cuter du code PHP, menant potentiellement \u00e0 une \u00e9l\u00e9vation de privil\u00e8ges.\u26a0\ufe0f Cela pouvait […]<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","_surecart_dashboard_logo_width":"180px","_surecart_dashboard_show_logo":true,"_surecart_dashboard_navigation_orders":true,"_surecart_dashboard_navigation_invoices":true,"_surecart_dashboard_navigation_subscriptions":true,"_surecart_dashboard_navigation_downloads":true,"_surecart_dashboard_navigation_billing":true,"_surecart_dashboard_navigation_account":true,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-5246","post","type-post","status-publish","format-standard","hentry","category-non-classe"],"acf":[],"_links":{"self":[{"href":"https:\/\/wpmastertoolkit.com\/es\/wp-json\/wp\/v2\/posts\/5246","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wpmastertoolkit.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wpmastertoolkit.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wpmastertoolkit.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/wpmastertoolkit.com\/es\/wp-json\/wp\/v2\/comments?post=5246"}],"version-history":[{"count":2,"href":"https:\/\/wpmastertoolkit.com\/es\/wp-json\/wp\/v2\/posts\/5246\/revisions"}],"predecessor-version":[{"id":5248,"href":"https:\/\/wpmastertoolkit.com\/es\/wp-json\/wp\/v2\/posts\/5246\/revisions\/5248"}],"wp:attachment":[{"href":"https:\/\/wpmastertoolkit.com\/es\/wp-json\/wp\/v2\/media?parent=5246"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wpmastertoolkit.com\/es\/wp-json\/wp\/v2\/categories?post=5246"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wpmastertoolkit.com\/es\/wp-json\/wp\/v2\/tags?post=5246"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}