CVE-2019-25687: Detectada Vulnerabilidad Crítica (CVSS 9.8)

⟫ 06/04/2026 ⟫ NVD/NIST

Fuente: NVD NIST

**Nueva vulnerabilidad crítica en Pegasus CMS: CVE-2019-25687**

Recientemente se ha detectado una vulnerabilidad crítica en la plataforma Pegasus CMS, identificada como CVE-2019-25687, que presenta una puntuación de 9.8 sobre 10 según el sistema de puntuación de vulnerabilidades comunes (CVSS). Este hallazgo es de suma importancia no solo para los administradores de sistemas que utilizan este software, sino también para cualquier organización que dependa de la seguridad de sus aplicaciones web y la integridad de sus datos. La gravedad de esta vulnerabilidad podría exponer a las empresas a riesgos significativos, incluyendo la ejecución remota de código malicioso, lo que podría comprometer la confidencialidad, integridad y disponibilidad de la información.

La vulnerabilidad en cuestión se encuentra en la versión 1.0 del plugin `extra_fields.php` del CMS Pegasus y permite a atacantes no autenticados ejecutar comandos arbitrarios. Esto se logra al aprovechar una funcionalidad insegura de evaluación de código PHP. Los atacantes pueden enviar solicitudes POST al endpoint `submit.php` incluyendo código PHP malicioso en el parámetro `action`, lo que les permite lograr la ejecución de código y obtener un shell interactivo. Esta técnica de ataque es particularmente peligrosa, ya que permite a los atacantes tomar control del sistema afectado sin necesidad de credenciales o de interacción por parte del usuario.

Desde el punto de vista técnico, esta vulnerabilidad se clasifica como CWE-22, lo que indica que está relacionada con la falta de validación de entradas, un problema común en el desarrollo de software. El vector de ataque de esta vulnerabilidad es de tipo NETWORK, con una complejidad de ataque baja, lo que significa que cualquier atacante con habilidades básicas podría aprovecharla. Además, no se requieren privilegios especiales para explotarla, lo que aumenta su peligrosidad.

Dado que se ha clasificado como CRÍTICA en la escala CVSS v3.1, las implicaciones de esta vulnerabilidad son graves. Las vulnerabilidades que reciben puntuaciones superiores a 9.0 generalmente representan los mayores riesgos de seguridad, permitiendo a los atacantes ejecutar código de forma remota, escalar privilegios o comprometer completamente el sistema afectado. Esto no solo pone en riesgo la infraestructura de TI de las organizaciones, sino que también puede dar lugar a filtraciones de datos sensibles, pérdida de confianza por parte de los clientes y posibles sanciones regulatorias.

Para los administradores de sistemas que gestionan Pegasus CMS, es crucial actuar con rapidez. Se recomienda encarecidamente que todas las organizaciones que utilicen este software apliquen los parches de seguridad disponibles de inmediato. Además, es fundamental revisar los sistemas en busca de indicadores de compromiso que puedan asociarse con esta vulnerabilidad, así como monitorizar el tráfico de red en busca de actividad sospechosa. Para obtener más información técnica y sobre los parches disponibles, se pueden consultar las siguientes referencias: [Exploit-DB](https://www.exploit-db.com/exploits/46542), [Vulncheck](https://www.vulncheck.com/advisories/pegasus-cms-remote-code-execution-via-extra-fields-php), [Wisdom](https://www.wisdom.com.au/web/pegasus-cms).

Es importante recordar que la seguridad de la información es un proceso continuo y que la gestión proactiva de vulnerabilidades es esencial para proteger los activos digitales de cualquier organización. La identificación temprana y la respuesta a amenazas potenciales son vitales para mantener la integridad y la confianza en los sistemas de información.

◢ VULNERABILIDADES ◣

CVE-2019-25687: Vulnerabilidad Crítica Detectada (CVSS 9.8)

⟫ 06/04/2026 ⟫ NVD/NIST

Source: NVD NIST

Se ha detectado una nueva vulnerabilidad crítica, identificada como CVE-2019-25687, que cuenta con una puntuación CVSS de 9.8/10. Esta vulnerabilidad representa un riesgo significativo para los sistemas afectados y requiere atención inmediata por parte de los equipos de seguridad. Descripción técnica: Pegasus CMS 1.0 contains a remote code execution vulnerability in the extra_fields.php plugin that allows unauthenticated attackers to execute arbitrary commands by exploiting unsafe eval functionality. Attackers can send POST requests to the submit.php endpoint with malicious PHP code in the action parameter to achieve code execution and obtain an interactive shell. La vulnerabilidad está clasificada como CWE-22, lo que indica el tipo específico de debilidad de seguridad presente en el software afectado. Análisis del vector de ataque: El vector de ataque es NETWORK con complejidad de ataque LOW. Privilegios requeridos: NONE. Interacción del usuario: NONE. Con una puntuación CVSS de 9.8, esta vulnerabilidad se clasifica como CRÍTICA en la escala Common Vulnerability Scoring System v3.1, que va de 0 a 10. Las vulnerabilidades con puntuaciones superiores a 9.0 representan los mayores riesgos de seguridad y típicamente permiten la ejecución remota de código, escalada de privilegios o compromiso total del sistema. Para más información técnica y parches disponibles, los administradores de sistemas pueden consultar las siguientes referencias: https://www.exploit-db.com/exploits/46542 https://www.vulncheck.com/advisories/pegasus-cms-remote-code-execution-via-extra-fields-php https://www.wisdom.com.au/web/pegasus-cms Se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que apliquen los parches de seguridad disponibles de forma inmediata, revisen sus sistemas en busca de indicadores de compromiso y monitoricen el tráfico de red en busca de actividad sospechosa relacionada con esta vulnerabilidad.

← VOLVER A CIBERSEGURIDAD