Más de 100.000 páginas web de Wordpress se han vistoa fectadas por una vulnerabilidad identificada en un 'plugin' de seguridad, que expone datos sensibles como credenciales a cualquiera con una suscripción.
Un 'plugin' de seguridad de Worpress, que ofrece características como un escáner de 'malware' y protección frente ataques de fuerza bruta, ha puesto en riesgo a las más de 100.000 páginas web donde está instalado, debido a una vulnerabilidad.
La vulnerabilidad de lectura arbitraria de archivos, recogida como CVE-2025-11705, se ha identificado en 'Anti-Malware Security and Brute-Force Firewall', y expone información sensible de las páginas web a los suscriptores que hayan iniciado sesión, como recogen en Wordfence.
Esto significa que un actor malicioso con privilegios de suscriptor puede acceder a datos como «las credenciales de la base de datos, así como las claves y los salts para la seguridad criptográfica» que se almacenan en el servidor.
Fue identificada por el investigador a Dmitrii Ignatyev, que la notificó a través del Programa de Recompensas por Errores de Wordfence. Los responsables del plugin lanzaron a mediados de octubre el parche con la versión 4.23.83.
Desde Wordfence instan a los usuarios de este plugin a que revisen la versión que tienen instada y actualicen lo antes posible a la más reciente.