Vulnerabilidades sin Parchear en el Tema y plugin RealHome de WordPress

Escrito por / 22 de octubre de 2025 / Noticias Hacking y Seguridad Informática / Vulnerabilidad, Wordpress

Los administradores de sitios web inmobiliarios que usan el tema RealHome y el plugin Easy Real Estate de WordPress deben asegurar sus sitios, ya que existen varias vulnerabilidades que aún no han sido corregidas.

Los desarrolladores no han parchado las vulnerabilidades reportadas hasta el momento, lo que deja expuestos a los sitios web que utilizan estos elementos a posibles amenazas de seguridad.

Vulnerabilidades encontradas en RealHome Theme y Easy Real Estate Plugin ⚔️

Investigadores de Patchstack descubrieron numerosas vulnerabilidades de seguridad en el tema RealHome y su plugin asociado Easy Real Estate, que ponen en riesgo a muchos sitios web de WordPress.

Estas son las principales vulnerabilidades encontradas:

  • CVE-2024-32444 (severidad crítica; CVSS 9.8):
    • Falta de verificación de nonce en el código que maneja la entrada de usuario. Esto podría permitir la escalada de privilegios en el tema RealHome.
    • Cualquier usuario podría crear nuevas cuentas con roles de administrador debido a la falta de comprobaciones de autorización en la acción inspiray_ajax_register con el parámetro $user_role. Esto permitiría a un atacante no autorizado tomar el control de los sitios web afectados.
  • CVE-2024-32555 (severidad crítica; CVSS 9.8):
    • Otra escalada de privilegios afectando al plugin Easy Real Estate.
    • La vulnerabilidad se encontraba en la función ere_social_register() del plugin, que carecía de autorización de usuario para la dirección de correo electrónico de la cuenta administrativa, permitiendo a cualquier atacante no autenticado iniciar sesión como administrador solo con la dirección de correo electrónico, sin necesidad de conocer la contraseña.

Estado de los parches

Los investigadores informaron rápidamente sobre estas vulnerabilidades a los desarrolladores de InspiryThemes.

Sin embargo, a pesar de varias actualizaciones y solicitudes, los desarrolladores no han parcheado las vulnerabilidades hasta el momento de la publicación de este artículo.

Recomendaciones para los administradores de sitios web ⚠️

Dado que estas vulnerabilidades ya han sido divulgadas, los administradores deben ser muy cuidadosos con la seguridad de sus sitios web. Aquí algunas recomendaciones:

  1. Deshabilitar el tema RealHome y el plugin Easy Real Estate hasta que se publiquen versiones corregidas.
  2. Mitigar los riesgos mediante la listas blancas estrictas de entradas de usuarios en funciones como wp_set_auth_cookie(), wp_update_user(), update_user_meta() y similares.
  3. Restringir la creación de cuentas en sus sitios para evitar la creación de cuentas maliciosas no autorizadas.

Es importante estar atento a las actualizaciones de los desarrolladores de estos productos para asegurarse de que los sitios web sean seguros.

🔥 LO MÁS VISTO DE ESTA CATEGORÍA