Una falla de seguridad de severidad media permite a atacantes autenticados leer archivos sensibles del servidor, incluyendo credenciales de bases de datos
El 28 de agosto de 2025, se publicó el parche para CVE-2025-9217, una vulnerabilidad de lectura arbitraria de archivos que afecta al popular plugin Slider Revolution para WordPress. Con más de 4 millones de instalaciones activas, esta falla representa un riesgo significativo para el ecosistema WordPress.
Detalles Técnicos de la Vulnerabilidad
La vulnerabilidad, catalogada con un CVSS de 6.5 (severidad media), afecta a todas las versiones de Slider Revolution hasta la 6.7.36. El problema radica en una validación insuficiente de los parámetros used_svg y used_images en las funciones add_svg_to_zip() y add_images_videos_to_zip() de la clase RevSliderSliderExport.
Vector de Ataque
Un atacante autenticado con permisos de Contributor o superiores puede explotar esta vulnerabilidad de Path Traversal para:
- Leer archivos arbitrarios del servidor
- Acceder al archivo
wp-config.phpque contiene credenciales de la base de datos - Extraer claves criptográficas y salts de seguridad
- Exportar archivos PHP en lugar de limitarse a imágenes y videos
El código vulnerable no implementa verificaciones de tipo de archivo ni de origen, permitiendo que archivos .php sean añadidos al ZIP de exportación junto con recursos multimedia legítimos.
Cronología de la Divulgación
| Fecha | Evento |
|---|---|
| 11/08/2025 | Reporte inicial vía Wordfence Bug Bounty Program |
| 19/08/2025 | Validación del exploit y notificación al vendor |
| 21/08/2025 | ThemePunch confirma el reporte e inicia desarrollo del parche |
| 28/08/2025 | Lanzamiento de la versión 6.7.37 con el fix |
Impacto y Mitigación
¿Quién está en riesgo?
- Sitios WordPress con Slider Revolution ≤ 6.7.36
- Instalaciones que permiten usuarios con rol Contributor o superior
- Aproximadamente 4 millones de sitios potencialmente afectados
Protección Inmediata
Actualización crítica: Los administradores deben actualizar inmediatamente a Slider Revolution 6.7.37 o superior.
Protección adicional:
- Usuarios de Wordfence (todas las versiones) están protegidos mediante la funcionalidad de Directory Traversal Protection
- Revisar los permisos de usuario y limitar el acceso de Contributor cuando sea posible
- Implementar monitoreo de intentos de exportación sospechosos
Contexto Histórico
Slider Revolution tiene un historial de vulnerabilidades críticas. En 2014, una falla similar (Local File Inclusion) afectó a más de 6 millones de sitios, conocida como el «SoakSoak Compromise». Esta nueva vulnerabilidad demuestra que el plugin continúa siendo un objetivo de alto valor para investigadores de seguridad y atacantes por igual.
Reconocimientos
El investigador stealthcopter descubrió y reportó responsablemente esta vulnerabilidad, recibiendo una recompensa de $656 a través del Wordfence Bug Bounty Program. ThemePunch respondió con celeridad, lanzando el parche en apenas 9 días desde la notificación oficial.
FAQ: Preguntas Frecuentes
¿Cómo sé si mi sitio está afectado?
Verifica la versión instalada de Slider Revolution en el panel de WordPress (Plugins → Plugins instalados). Si tienes la versión 6.7.36 o anterior, tu sitio es vulnerable. Actualiza inmediatamente a la versión 6.7.37 o superior.
¿Qué tipo de atacante puede explotar esta vulnerabilidad?
Requiere autenticación con permisos mínimos de Contributor. Esto significa que usuarios registrados con capacidad de crear contenido pueden explotar la falla. No es explotable por usuarios anónimos.
¿Qué información sensible puede ser comprometida?
El archivo más crítico es wp-config.php, que contiene:
- Credenciales de la base de datos (DB_NAME, DB_USER, DB_PASSWORD, DB_HOST)
- Authentication Unique Keys y Salts
- Prefijo de tablas de la base de datos
- Configuraciones de debugging y entorno
¿Wordfence realmente protege contra esta vulnerabilidad?
Sí. Wordfence implementa protección contra Directory Traversal en todas sus versiones (Premium, Care, Response y Free). Esta protección funciona como una capa de defensa incluso antes de que el exploit alcance el código vulnerable del plugin.
¿Debo preocuparme si uso un tema que incluye Slider Revolution?
Absolutamente. Muchos temas premium incluyen Slider Revolution como plugin bundled. Estos temas no siempre reciben actualizaciones automáticas del plugin. Debes:
- Verificar manualmente la versión instalada
- Contactar al desarrollador del tema para obtener la versión actualizada
- Considerar actualizar Slider Revolution independientemente si el tema lo permite
¿Esta vulnerabilidad puede ser explotada en ataques masivos automatizados?
Técnicamente sí, pero requiere credenciales válidas con permisos de Contributor+. El riesgo real está en:
- Sitios con registros de usuarios abiertos
- Cuentas comprometidas previamente
- Ataques dirigidos post-compromiso inicial
¿Qué debo hacer si sospecho que mi sitio fue comprometido?
- Actualiza Slider Revolution inmediatamente a la versión 6.7.37+
- Revisa los logs de acceso en busca de exportaciones de sliders inusuales
- Audita usuarios con rol Contributor o superior
- Rota las credenciales de la base de datos y las keys de
wp-config.php - Considera un escaneo de malware con herramientas como Wordfence o Sucuri
¿Por qué la calificación CVSS es solo 6.5 (media) si parece crítica?
El CVSS considera múltiples factores. Esta vulnerabilidad obtiene 6.5 porque:
- Requiere autenticación (PR:L – Privilegios Bajos requeridos)
- Solo permite lectura (I:N – Sin impacto en integridad)
- No permite ejecución directa de código (A:N – Sin impacto en disponibilidad)
- Sin embargo, tiene alta confidencialidad (C:H – Acceso a información sensible)
A pesar de la calificación media, el impacto real en entornos de producción puede ser crítico.
¿Existen indicadores de compromiso (IoCs) específicos?
Busca en tus logs:
- Peticiones POST a
/wp-admin/admin-ajax.phpcon parámetros relacionados a exportación de sliders - Archivos ZIP generados en
/wp-content/uploads/con nombres relacionados arevslider-export - Patrones de Path Traversal como
../../../wp-config.phpen parámetros de imagen
¿Debo desinstalar Slider Revolution?
No necesariamente. Si actualizas a la versión 6.7.37 o superior, el plugin es seguro. Solo considera desinstalarlo si:
- No lo estás usando activamente
- Prefieres alternativas con mejor historial de seguridad
- Tu tema lo incluye pero no lo necesitas
Última actualización: 29 de agosto de 2025
CVE: CVE-2025-9217
Versión afectada: ≤ 6.7.36
Versión parcheada: 6.7.37
Fuentes: Wordfence Intelligence, GitHub Advisory Database, Patchstack
