Una campaña de explotación de vulnerabilides en sistemas de gestión de contenidos (CMS) está ocurriendo en todo el mundo, afectando a las empresas que usan el CMS para la gestión de sus sitios web. Las vulnerabilidades afectan el software y los complementos del CMS.
Los sitios web están siendo escaneados por los ciberdelincuentes para identificar si el sitio web usa un CMS vulnerable y de serlo, tratan de implementar webshells, un script o fragmento de código malicioso, que funciona como una puerta trasera permanente (backdoor), lo que permite a los ciberdelincuentes ejecutar comandos, manipular archivos y administrar el servidor de forma remota directamente desde un navegador web.
A diferencia de los ataques del pasado, que sólo buscaban dañar la estética del sitio, en esta ocasión los atacantes usan la webshell para acceder y controlar de forma remota servidores web específicos y aprovecharlos para varios propósitos, entre ellos:
- Desfiguración o interrupción del sitio web
- Capturar credenciales ingresadas por usuarios del sitio web u otros datos almacenados en servidores web
- Cargar malware adicional para apuntar y estafar a usuarios legítimos del sitio web
- Utilizar el acceso al servidor web como vía para lograr un compromiso más amplio de la red del negocio
Software y complementos afectados
| Software/plugin | CVE |
|---|---|
| Simple File List (WordPress) | CVE-2025-34085/CVE-2020-36847 |
| WavePlayer (WordPress) | CVE-2025-12057 |
| BerqWP (WordPress) | CVE-2025-7443 |
| WPBookit (WordPress) | CVE-2025-7852 |
| Ninja Forms (WordPress) | CVE-2026-0740 |
| ThemeREX Addons (WordPress) | CVE-2026-1969 |
| Breeze Cache (WordPress) | CVE-2026-3844 |
| pay-uz (WordPress) | CVE-2026-31843 |
| ACF Extended (WordPress) | CVE-2025-13486 |
| Sneeit Framework | CVE-2025-6389 |
| WPvivid Backup (WordPress) | CVE-2026-1357 |
| Gravity Forms (WordPress) | CVE-2025-12352 |
| GutenKit/Hunk Companion (WordPress) | Probablemente CVE-2024-9234 |
| Craft CMS | CVE-2025-32432 |
| MaxSite CMS | CVE-2026-3395 |
| MetInfo CMS | CVE-2026-29014 |
| Joomla JCE | CVE-2026-48907 |
Recomendaciones
A los administradores de sitios web, el Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia (ACSC de ASD) recomienda:
- Inspeccione su CMS en busca de webshells.
- Examine sus registros de acceso web en busca de direcciones IP que realicen solicitudes GET o POST a cualquier ruta de webshell.
- Aísle los servidores web comprometidos, y realice una auditoría de autenticación y registro de red para detectar eventos maliciosos y conexiones de red.
- Rastree cualquier solicitud web sospechosa que pueda constituir la explotación e implementación inicial de cualquier webshell.
- Revise los registros de red para detectar interacciones con cualquiera de las direcciones IP identificadas que se ven comunicándose con los webshells.
- Investigue el registro y los hosts en busca de evidencia de persistencia, movimiento lateral u otras acciones maliciosas. Esto puede incluir la creación de cuentas adicionales, intentos de exfiltración o la implementación de malware.
- Parchee los sistemas vulnerables para evitar la reinfección.
- En caso de sitios web comprometidos, restaure a partir de una copia de seguridad reciente y conocida.
Proteja su sitio web
- Asegúrese de que el software y complementos del sitio web estén actualizados.
- Monitoree o bloquee la creación de archivos.
- Restrinja el acceso a archivos y directorios.
- Monitoree nuevos procesos.
- Bloquee la comunicación de red innecesaria entre sitios web orientados a Internet y otros dispositivos informáticos corporativos.
