Un plugin de seguridad expone información sensible de más de 100.000 páginas de Wordpress

Más de 100.000 páginas web de Wordpress se han vistoa fectadas por una vulnerabilidad identificada en un 'plugin' de seguridad, que expone datos sensibles como credenciales a cualquiera con una suscripción.

Un 'plugin' de seguridad de Worpress, que ofrece características como un escáner de 'malware' y protección frente ataques de fuerza bruta, ha puesto en riesgo a las más de 100.000 páginas web donde está instalado, debido a una vulnerabilidad.

La vulnerabilidad de lectura arbitraria de archivos, recogida como CVE-2025-11705, se ha identificado en 'Anti-Malware Security and Brute-Force Firewall', y expone información sensible de las páginas web a los suscriptores que hayan iniciado sesión, como recogen en Wordfence.

Esto significa que un actor malicioso con privilegios de suscriptor puede acceder a datos como "las credenciales de la base de datos, así como las claves y los salts para la seguridad criptográfica" que se almacenan en el servidor.

Fue identificada por el investigador a Dmitrii Ignatyev, que la notificó a través del Programa de Recompensas por Errores de Wordfence. Los responsables del plugin lanzaron a mediados de octubre el parche con la versión 4.23.83.

Desde Wordfence instan a los usuarios de este plugin a que revisen la versión que tienen instada y actualicen lo antes posible a la más reciente.