[ALERTA CRÍTICA] Elementor en la Mira: CVE-2025-30911 expone a miles de sitios WordPress en México

Cuando un simple plugin puede comprometer tu servidor completo…

En el vasto y turbulento océano de la web, WordPress es el barco insignia de millones de sitios. Y uno de sus plugins más populares, Elementor, acaba de encender todas las alarmas de ciberseguridad. La vulnerabilidad CVE-2025-30911, con un puntaje CVSS de 9.9, ha sacudido a la comunidad técnica por su capacidad de permitir la ejecución remota de código (RCE) sin necesidad de privilegios elevados.

Sí, leíste bien: incluso un suscriptor autenticado puede tomar control de tu sitio si esta vulnerabilidad no es corregida de inmediato.

¿Qué es CVE-2025-30911 y por qué es tan grave?

La función install_requirements(), conectada internamente al endpoint AJAX wp_ajax_install_requirements, omite la validación de permisos y tokens de seguridad (nonce). Esto permite que usuarios autenticados, con tan solo rol de suscriptor, puedan:

• Instalar plugins arbitrarios o maliciosos.

• Ejecutar código PHP en el servidor afectado.

• Elevar privilegios y tomar el control del sistema.

• Puerta abierta para webshells, backdoors y exfiltración de información.

Todo esto sin necesidad de una vulnerabilidad previa o credenciales de alto nivel.

México en Riesgo: Mapeo de la Superficie de Ataque

MictlánSecurity tuvo acceso a datos que revelan un total de 872 servidores WordPress expuestos en México con Elementor instalado en versiones vulnerables. Las ubicaciones más afectadas son:

📍 Ciudad de México – 337 servidores
📍 Estado de México – 112
📍 Nuevo León – 82
📍 Jalisco – 53
📍 Morelos – 53

Entre las entidades afectadas se incluyen universidades públicas, instituciones gubernamentales y plataformas educativas, lo que podría traducirse en accesos indebidos a bases de datos confidenciales, documentos internos y redes de mayor nivel.

¿Quién está en la mira?

El exploit no requiere privilegios de administrador. Basta con que un atacante:

1. Cree una cuenta de suscriptor en el sitio (o explote una cuenta existente).

2. Envíe una solicitud AJAX manipulada.

3. Cargue un plugin personalizado que contenga un payload malicioso.

4. Ejecute código remotamente.

Este tipo de vulnerabilidad abre la puerta a campañas automatizadas de explotación masiva, ransomware dirigido y backdoors persistentes en sitios de alto tráfico.

¿Cómo protegerte ahora mismo?

✅ Actualiza Elementor inmediatamente a la versión parchada.
✅ Revoca permisos a usuarios sospechosos o inactivos.
✅ Implementa un Web Application Firewall (WAF) que filtre solicitudes AJAX manipuladas.
✅ Audita los logs de acceso para detectar actividad anómala.
✅ Monitorea integridad de archivos y plugins con herramientas como Wordfence, WPScan o Wazuh.

El llamado de MictlánSecurity:

Esta no es solo una vulnerabilidad más. Es un riesgo crítico para la cadena de confianza de cientos de organizaciones mexicanas. Desde gobiernos locales hasta instituciones académicas, todos están expuestos si no se actúa de forma inmediata y coordinada.