La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el martes dos fallas de seguridad que afectan a Gladinet y Control Web Panel (CWP) a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza.
Las vulnerabilidades en cuestión se enumeran a continuación:
- CVE-2025-11371 (Puntuación CVSS: 7,5): una vulnerabilidad en archivos o directorios accesibles a terceros en Gladinet CentreStack y Triofox que podría resultar en la divulgación no intencionada de archivos del sistema.
- CVE-2025-48703 (Puntuación CVSS: 9.0): una vulnerabilidad de inyección de comandos del sistema operativo en Control Web Panel (anteriormente CentOS Web Panel) que resulta en la ejecución remota de código no autenticado a través de metacaracteres de shell en el parámetro t_total en una solicitud changePerm del administrador de archivos.
El desarrollo se produce semanas después de que la empresa de ciberseguridad Huntress dijera que detectó intentos de explotación activa dirigidos a CVE-2025-11371, con actores de amenazas desconocidos aprovechando la falla para ejecutar comandos de reconocimiento (por ejemplo, ipconfig /all) pasados en forma de una carga útil codificada en Base64.
Sin embargo, actualmente no hay informes públicos sobre cómo CVE-2025-48703 se está utilizando como arma en ataques del mundo real. Sin embargo, los detalles técnicos de la falla fueron compartidos por el investigador de seguridad Maxime Rinaudo en junio de 2025, poco después de que se parcheara en la versión 0.9.8.1205 luego de una divulgación responsable el 13 de mayo.
«Permite a un atacante remoto que conoce un nombre de usuario válido en una instancia de CWP ejecutar comandos arbitrarios previamente autenticados en el servidor», dijo Rinaudo.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones necesarias antes del 25 de noviembre de 2025 para proteger sus redes.
La adición de las dos fallas al catálogo KEV sigue a los informes de Wordfence sobre la explotación de vulnerabilidades de seguridad críticas que afectan a tres complementos y temas de WordPress:
- CVE-2025-11533 (Puntuación CVSS: 9,8): una vulnerabilidad de escalada de privilegios en WP Freeio que hace posible que un atacante no autenticado se otorgue privilegios administrativos especificando una función de usuario durante el registro.
- CVE-2025-5397 (Puntuación CVSS: 9,8): una vulnerabilidad de omisión de autenticación en Noo JobMonster que hace posible que atacantes no autenticados eludan la autenticación estándar y accedan a cuentas de usuarios administrativos, suponiendo que el inicio de sesión social esté habilitado en un sitio.
- CVE-2025-11833 (Puntuación CVSS: 9,8): falta de controles de autorización en Post SMTP que hace posible que un atacante no autenticado vea registros de correo electrónico, incluidos los correos electrónicos de restablecimiento de contraseña, y cambie la contraseña de cualquier usuario, incluido un administrador, lo que permite tomar el control del sitio.
Se recomienda a los usuarios de sitios de WordPress que dependen de los complementos y temas antes mencionados que los actualicen a la última versión lo antes posible, utilicen contraseñas seguras y auditen los sitios en busca de signos de malware o la presencia de cuentas inesperadas.