El tema premium para WordPress, TheGem, utilizado en más de 82,000 sitios web a nivel global, se han detectado vulnerabilidades de carácter crítico. Investigaciones recientes han puesto de manifiesto la existencia de dos fallos de seguridad distintos, aunque relacionados, que afectan a la versión 5.10.3 y a versiones anteriores de este tema.
Cuando se combinan, estas vulnerabilidades crean un vector de ataque peligroso que podría conducir a la ejecución remota de código y comprometer completamente el sitio.
«El archivo descargado se copia en la carpeta de cargas de WordPress, a la que se puede acceder públicamente de forma predeterminada… los atacantes pueden combinar las dos vulnerabilidades para cargar código PHP malicioso arbitrario y luego acceder al archivo para activar la ejecución remota del código», advierte el informe de Wordfence.
La primera vulnerabilidad, a la que se le asignó una puntuación CVSS de alta gravedad de 8,8, implica cargas de archivos arbitrarias debido a la falta de validación del tipo de archivo en la función thegem_get_logo_url().
Esta vulnerabilidad permite a atacantes autenticados con acceso a nivel de suscriptor cargar archivos potencialmente maliciosos en los servidores afectados.
El código vulnerable en cuestión no logra validar los tipos de archivos:
Este fragmento de código del tema TheGem descarga archivos a ciegas sin verificación, creando un punto de entrada para que los atacantes carguen archivos PHP maliciosos.
La segunda vulnerabilidad, clasificada como de gravedad media con una puntuación CVSS de 4,3, se debe a comprobaciones de autorización insuficientes en la función ajaxApi() del tema. Aunque está protegida por una verificación nonce, esta función carece de una validación de capacidad adecuada:
Esta vulnerabilidad permite a los usuarios autenticados con permisos de nivel de suscriptor modificar la configuración del tema, incluida la configuración de la URL del logotipo para que apunte a contenido malicioso.
- Los expertos en seguridad han delineado una posible cadena de ataques que explota ambas vulnerabilidades:
- Los atacantes con acceso a nivel de suscriptor aprovechan CVE-2025-4339 para modificar la configuración de la URL del logotipo del tema para que apunte a un archivo PHP malicioso.
- Cuando el sitio web intenta cargar el logotipo, la función thegem_get_logo_url() descarga y almacena el archivo malicioso sin validación.
- Luego, los atacantes acceden al archivo cargado para ejecutar código arbitrario y potencialmente tomar el control total del sitio web.
Las vulnerabilidades fueron reveladas responsablemente a CodexThemes, quien rápidamente lanzó una versión parcheada (5.10.3.1) el 7 de mayo de 2025.
«Instamos a los usuarios a actualizar sus sitios con la última versión parcheada de TheGem, la versión 5.10.3.1 en el momento de escribir este artículo, lo antes posible», aconsejó el equipo de seguridad de Wordfence.
Los usuarios de Wordfence Premium han recibido protección de firewall contra estos exploits desde el 5 de mayo, mientras que los usuarios gratuitos recibirán protección el 4 de junio de 2025. Los administradores de sitios web que utilicen el tema TheGem deben hacerlo de inmediato.
- Actualice a la versión 5.10.3.1 o posterior.
- Considere implementar un firewall de aplicaciones web.
- Revise los roles y permisos de los usuarios del sitio.
- Supervise actividades sospechosas en los registros del servidor.
Considerando la amplia adopción de WordPress, que soporta aproximadamente el 43% de los sitios web a nivel mundial, las vulnerabilidades identificadas en temas de gran popularidad como TheGem constituyen riesgos de seguridad significativos con la posibilidad de generar un impacto extenso.
Este suceso subraya la relevancia de mantener las plataformas de software actualizadas de forma constante, administrar cuidadosamente los permisos de los usuarios e implementar medidas de seguridad robustas, tales como firewalls para aplicaciones web.
