Investigadores de seguridad han identificado una vulnerabilidad crítica en el plugin Jupiter X Core de WordPress, utilizado en más de 90.000 sitios web.

La falla, descubierta el 6 de enero, permite a los atacantes con privilegios de colaborador o superiores cargar archivos SVG maliciosos y ejecutar código remoto en servidores vulnerables. El problema (CVE-2025-0366) ha recibido una puntuación CVSS de 8,8 (alta).

Los investigadores de Wordfence revelaron que la vulnerabilidad se debe a una desinfección inadecuada de las cargas de archivos SVG y al uso de la función get_svg() por parte del plugin, lo que permite a los atacantes eludir los controles de seguridad.

La falla permite a los atacantes cargar archivos SVG especialmente diseñados que contienen código PHP. Al encadenar esto con una vulnerabilidad en la función get_svg(), se pueden ejecutar archivos maliciosos en el servidor.

El investigador stealthcopter informó sobre la vulnerabilidad el 6 de enero de 2025, a través del programa de recompensas por errores de Wordfence, y obtuvo una recompensa de $782.

El desarrollador del complemento, Artbees, lanzó un parche el 29 de enero de 2025 que soluciona el problema.

Se recomienda encarecidamente a los usuarios de Jupiter X Core que actualicen a la versión 4.8.8 de inmediato.

Los expertos también sugieren adoptar medidas proactivas, como habilitar actualizaciones automáticas para complementos y temas siempre que sea posible, para evitar la explotación. Auditar regularmente los complementos instalados y eliminar los que no se utilizan o que están desactualizados también puede reducir la superficie de ataque.