CVE-2025-12882: Vulnerabilidad Crítica Detectada (CVSS 9.8)

⟫ 20/02/2026 ⟫ NVD/NIST

Fuente: NVD NIST

### Nueva Vulnerabilidad Crítica en WordPress: CVE-2025-12882

En el siempre dinámico paisaje de la ciberseguridad, la detección de vulnerabilidades críticas puede tener repercusiones significativas tanto para los usuarios individuales como para las organizaciones. Recientemente, se ha identificado una vulnerabilidad severa en el plugin Clasifico Listing para WordPress, clasificada como CVE-2025-12882, la cual ha recibido una alarmante puntuación de 9.8 sobre 10 en la escala CVSS. Este hallazgo subraya la importancia de la vigilancia constante en el ámbito de la seguridad informática, especialmente para aquellos que gestionan sitios web en la plataforma WordPress, que continúa siendo uno de los sistemas de gestión de contenido más utilizados a nivel global.

La vulnerabilidad en cuestión permite la escalada de privilegios en versiones del plugin hasta la 2.0 inclusive. El fallo se origina en el hecho de que el plugin permite a los usuarios que se registran en nuevas cuentas definir su propio rol mediante el parámetro 'listing_user_role'. Esto brinda la oportunidad a atacantes no autenticados para registrarse como administradores, obteniendo así privilegios elevados y, potencialmente, el control total del sistema afectado. La vulnerabilidad se clasifica bajo CWE-269, lo que indica que se trata de una debilidad relacionada con la asignación inapropiada de privilegios.

El análisis del vector de ataque revela que el método de explotación es a través de la red, con una complejidad de ataque calificada como baja. Esto significa que no se requieren privilegios especiales para ejecutar la explotación, ni se necesita interacción por parte del usuario. Dada la alta puntuación de 9.8 en la escala de gravedad, esta vulnerabilidad se considera crítica, lo que implica que su explotación podría resultar en la ejecución remota de código, escalada de privilegios o incluso la toma de control completo del sistema.

Los administradores de sistemas y responsables de la seguridad deben actuar con rapidez. La organización que gestiona este plugin ha emitido parches de seguridad que deben ser aplicados de inmediato. Para obtener información técnica adicional y acceso a los parches disponibles, los administradores pueden consultar los siguientes enlaces: [ThemeForest Clasifico](https://themeforest.net/item/clasifico-classified-ads-wordpress-theme/33539482) y [Wordfence Vulnerabilidades](https://www.wordfence.com/threat-intel/vulnerabilities/id/70fb90f0-1ca4-41fe-8638-cdd05747adae?source=cve).

La aparición de esta vulnerabilidad no es un incidente aislado. Históricamente, los plugins de WordPress han sido un blanco habitual para atacantes que buscan aprovechar debilidades en la gestión de roles y permisos. Este tipo de vulnerabilidades ha llevado a incidentes significativos en el pasado, donde atacantes han conseguido comprometer sitios web enteros, poniendo en riesgo la información sensible de los usuarios y la reputación de las organizaciones.

Ante esta situación, se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que implementen de forma inmediata los parches de seguridad disponibles. Además, es vital revisar los sistemas en busca de indicadores de compromiso y monitorizar el tráfico de red para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La proactividad en la gestión de la seguridad cibernética no solo ayuda a mitigar el riesgo de futuros ataques, sino que también es fundamental para mantener la confianza de los usuarios y proteger la integridad de las operaciones en línea.

◢ VULNERABILIDADES ◣

CVE-2025-12882: Vulnerabilidad Crítica Detectada (CVSS 9.8)

⟫ 20/02/2026 ⟫ NVD/NIST

Source: NVD NIST

Se ha detectado una nueva vulnerabilidad crítica, identificada como CVE-2025-12882, que cuenta con una puntuación CVSS de 9.8/10. Esta vulnerabilidad representa un riesgo significativo para los sistemas afectados y requiere atención inmediata por parte de los equipos de seguridad. Descripción técnica: The Clasifico Listing plugin for WordPress is vulnerable to privilege escalation in versions up to, and including, 2.0. This is due to the plugin allowing users who are registering new accounts to set their own role by supplying the 'listing_user_role' parameter. This makes it possible for unauthenticated attackers to gain elevated privileges by registering an account with the administrator role. La vulnerabilidad está clasificada como CWE-269, lo que indica el tipo específico de debilidad de seguridad presente en el software afectado. Análisis del vector de ataque: El vector de ataque es NETWORK con complejidad de ataque LOW. Privilegios requeridos: NONE. Interacción del usuario: NONE. Con una puntuación CVSS de 9.8, esta vulnerabilidad se clasifica como CRÍTICA en la escala Common Vulnerability Scoring System v3.1, que va de 0 a 10. Las vulnerabilidades con puntuaciones superiores a 9.0 representan los mayores riesgos de seguridad y típicamente permiten la ejecución remota de código, escalada de privilegios o compromiso total del sistema. Para más información técnica y parches disponibles, los administradores de sistemas pueden consultar las siguientes referencias: https://themeforest.net/item/clasifico-classified-ads-wordpress-theme/33539482 https://www.wordfence.com/threat-intel/vulnerabilities/id/70fb90f0-1ca4-41fe-8638-cdd05747adae?source=cve Se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que apliquen los parches de seguridad disponibles de forma inmediata, revisen sus sistemas en busca de indicadores de compromiso y monitoricen el tráfico de red en busca de actividad sospechosa relacionada con esta vulnerabilidad.

← VOLVER A CIBERSEGURIDAD