Service Finder Bookings, un plugin de reservas usado en aproximadamente 6.000 sitios WordPress, sufre dos vulnerabilidades críticas (CVE-2025-5947 y CVE-2025-5948) que permiten a atacantes acceder como administrador sin credenciales válidas. Desde el 1 de agosto de 2025, hay explotación activa documentada. Si tenés este plugin instalado en cualquier versión anterior a 6.1, estás en riesgo inmediato.
En 30 segundos
- CVE-2025-5947: bypass de autenticación en Service Finder Bookings versiones ≤6.0, CVSS 9.8 (crítico)
- Explotación activa desde 1 agosto 2025, 13.800+ intentos bloqueados según Wordfence
- 6.000 instalaciones afectadas en sitios de reservas de servicios, turnos, citas médicas
- Parche disponible desde 17 julio 2025 (versión 6.1)
- Señales: logs con ?switch_back=1, usuarios admin nuevos, cambios no autorizados post-agosto
Service Finder es un tema WordPress que proporciona funcionalidades para la gestión y reserva de servicios profesionales a través de su plugin integrado Service Finder Bookings. Se utiliza principalmente para crear sitios web de directorios de servicios y plataformas de reservas en línea.
Qué es Service Finder Bookings y por qué esta vulnerabilidad es crítica
Service Finder Bookings es un plugin de gestión de reservas integrado con el tema Service Finder para WordPress. Maneja citas, turnos, reservas de servicios. Lo usan desde peluquerías hasta consultorios médicos, agencias de turismo, estudios de fotografía (ponele, cualquier negocio donde un cliente necesita agendar algo).
La vulnerabilidad es crítica porque no requiere contraseña, no requiere email válido, no requiere nada. Un atacante con acceso a Internet simplemente manipula una cookie y accede directo como administrador. CVSS 9.8. No hay vuelta: si no parchés, tu sitio es accesible.
El exploit funciona explotando una función de switch de usuarios mal validada, permitiendo cambiar de sesión sin verificación real. Eso sí, no es un «oh, cualquiera lo puede hacer». Requiere que el atacante sepa qué buscar, que conozca WordPress, que sepa modificar requests HTTP. Pero una vez que el exploit está público (y está), cualquier herramienta automática lo hace.
Cómo funciona el exploit: la lógica rota que abre las puertas
La función vulnerable es service_finder_switch_back(), que existe para permitir que un administrador temporalmente acceda como un cliente para «ver la experiencia del usuario» (una característica bastante común en plugins de admin).
El problema: la validación de la cookie de sesión es insuficiente. La función espera una cookie llamada original_user_id que indica quién era el usuario original. Si esa cookie existe, asume que la transición es legítima. ¿Lo agarraste? El atacante simplemente crea esa cookie con el valor 1 (que es el ID del administrador por defecto en WordPress), y boom, acceso administrativo completo. Te puede servir nuestra cobertura de como con otros plugins de terceros.
No hay verificación de nonce. No hay validación de permisos previos. No hay registro de auditoría en ese punto. Solo: «existe la cookie, ejecutá el switch».
A quién afecta: versiones vulnerables y contexto real
Según Patchstack, la vulnerabilidad afecta todas las versiones hasta 6.0 (inclusive). El parche fue liberado en versión 6.1 el 17 de julio de 2025.
Eso significa que si tu sitio está en versión 6.0 o anterior, estás vulnerable. Y no estamos hablando de sitios hobby: Service Finder se usa en clínicas dentales, estudios dermatológicos, agencias de viajes con miles de transacciones mensuales.
Evidencias de explotación: qué buscar en tus logs
Si alguien intentó explotar tu sitio, dejó rastros.
- En access.log: GET requests hacia
wp-admin/admin-ajax.php?action=service_finder_switch_backo variantes con parámetros raros. Buscar IPs sospechosas, múltiples intentos en poco tiempo. - En wp-content/debug.log (si está activado): intentos de crear sesiones, errores de usuario no definido, advertencias sobre roles.
- En la base de datos: usuarios administrativos creados entre el 1 de agosto y hoy que vos no creaste. Query:
SELECT * FROM wp_users WHERE user_registered > '2025-08-01' AND ID > 10; - Comportamiento visual: cambios en el dashboard que no hiciste, plugins activados de repente, cambios en título del sitio, redirecciones anómalas.
Wordfence documentó 13.800+ intentos bloqueados en sitios protegidos desde que el exploit se hizo público. Si no tenés security plugin activo, no tenés defensa contra esto.
Actualización segura: de 6.0 a 6.1 paso por paso
Paso 1: Backup completo. Antes de tocar nada, descargá una copia de toda la carpeta /wp-content, la base de datos completa. Usá un plugin tipo UpdraftPlus o WPVivid (que ya tenés instalado en seguridadenwordpress.com). No es paranoia, es que a veces las actualizaciones rompen cosas y necesitás poder volver atrás en 2 minutos.
Paso 2: Desactivá temporalmente plugins que dependan de Service Finder. Si tenés plugins custom que se anclen a las funciones de Service Finder, deactiválos por ahora. Evitás conflictos durante la actualización.
Paso 3: Dashboard → Plugins → Actualizaciones disponibles. Buscá Service Finder Bookings, hacé clic en «Actualizar ahora». WordPress descargará la 6.1 automáticamente. Más contexto en una estrategia de defensa en profundidad.
Paso 4: Verificación rápida. Una vez actualizado, entrá a un cliente test, probá una reserva, confirmá que el sistema de booking sigue funcionando. Abrí el dashboard del admin, que aparezca sin errores.
Paso 5: Reactivá los plugins que desactivaste. Si todo anda bien, reactivá lo que sacaste en el Paso 2.
Tiempo total: 5 minutos si el servidor anda rápido, 15 si está lento. Sin downtime perceptible para los usuarios finales.
CVE-2025-5948: La segunda vulnerabilidad que está en el mismo plugin
Mientras arreglaban el bypass de autenticación, los analistas encontraron otra: escalada de privilegios en la función AJAX claim_business. El impacto es parecido (un atacante no autenticado reclama ownership de un negocio), pero el vector es diferente. Mismas versiones afectadas, mismo parche (6.1).
Eso sí, el reporte oficial es menos específico en los detalles técnicos para evitar que la gente lo use sin parchear. Pero está confirmada y también es crítica.
Tabla comparativa: vulnerabilidades de Service Finder
| CVE | Función afectada | Impacto | Severidad (CVSS) | Versiones afectadas | Parche |
|---|---|---|---|---|---|
| CVE-2025-5947 | service_finder_switch_back() | Acceso administrativo sin credenciales | 9.8 (Crítico) | ≤ 6.0 | 6.1 (17 julio 2025) |
| CVE-2025-5948 | claim_business AJAX | Escalada de privilegios / Claim de negocios | 9.1 (Crítico) | ≤ 6.0 | 6.1 (17 julio 2025) |
Medidas de seguridad urgentes después de actualizar
Actualizar soluciona el agujero, pero no borra las manos que pudieron haber estado adentro en los últimos meses. Relacionado: tal como vimos en nuestro análisis histórico.
- Cambiar todas las contraseñas administrativas. Especialmente la del usuario
admin(ID=1) y cualquier otra cuenta con permisos altos. Usá una contraseña fuerte: 16+ caracteres, mezcla de mayúsculas/minúsculas/números/símbolos. - Activar autenticación de dos factores. Si tenés WP 2FA o Google Authenticator instalado, configurálo en todas las cuentas admin. Si no lo tenés, instalálo ahora.
- Auditar usuarios creados post-agosto. Dashboard → Usuarios. Mirá quiénes se crearon desde el 1 de agosto de 2025 hasta hoy. Si no los creaste vos, eliminálos y revisa sus actividades en los logs.
- Revisar logs de Wordfence si tenés el plugin activo. Ve a Wordfence → Tools → Diagnostics. Busca blocked attacks, lockouts, eventos sospechosos. Si hay registros de CVE-2025-5947, al menos sabés que alguien lo intentó (y fue bloqueado).
- Plugins activados recientemente. Si hay plugins que aparecieron sin que vos los instalaras, desactiválos y eliminálos. Es común que un atacante instale backdoors (plugins maliciosos) para mantener acceso después de que arregles la vulnerabilidad original.
- Monitoreo continuo. Configurá Wordfence en modo activo (no solo alertas pasivas). Hacé que bloquee IPs sospechosas automáticamente, que verifique la integridad de archivos cada semana.
Preguntas Frecuentes
¿Tengo el plugin Service Finder Bookings instalado?
Dashboard → Plugins. Buscá «Service Finder». Si aparece y está activo, sí, lo tenés. Si no aparece, no lo tenés instalado, entonces no aplica.
¿Qué pasa si no actualizo a 6.1?
Tu sitio queda vulnerable. Un atacante puede acceder como admin, cambiar contenido, instalar malware, robar datos de clientes, desactivar backups, piratear el sitio. No es «si», es «cuándo».
¿La actualización a 6.1 rompe mis reservas existentes?
No. El parche es seguro, solo arregla la lógica de validación de sesión. Las reservas, clientes, historial, todo sigue igual. Ningún dato se pierde.
¿Cómo sé si un atacante ya estuvo adentro de mi sitio?
Chequeá los logs (access.log, debug.log), buscá usuarios admin nuevos, revisá el historial de Wordfence si lo tenés instalado. Si la respuesta es «no tengo idea» o «no tengo logs», asumí que sí pueden haber entrado y ejecutá una auditoría profunda después de parchear.
¿Wordfence protege contra este exploit?
Sí, si está activo. Wordfence detecta y bloquea requests hacia service_finder_switch_back con parámetros anómalos. Pero necesita estar activado y actualizado. No es defensa si no lo tenés instalado.
Errores comunes al remediación
Error 1: Actualizar sin backup previo
Pasó que un servidor lento o una conexión inestable interrumpe la actualización a mitad de camino, WordPress se queda en un estado inconsistente, y de repente nada funciona. Siempre backup primero. Cuesta 2 minutos, evita 3 horas de dolor. Para más detalles técnicos, mirá según el reporte actualizado de vulnerabilidades.
Error 2: Actualizar y seguir sin cambiar contraseñas
Parcha el agujero, muy bien. Pero si un atacante ya tuvo acceso y creó usuarios backdoor o cambió la contraseña admin, actualizar solo no lo saca. Necesitás auditar después de parchear.
Error 3: Ignorar CVE-2025-5948 porque «ya parchamos el 5947»
Son dos CVEs diferentes. El parche 6.1 arregla ambas, pero si leés solo sobre la primera y asumís que la segunda no existe, podés dejar el sitio vulnerable a través del segundo vector. Leé el changelog completo de la versión 6.1 para confirmar que ambas están patcheadas.
Conclusión
Service Finder Bookings versiones 6.0 e inferiores están comprometidas. No es «por ahí alguien podría», es que activamente hay atacantes probando esto desde agosto de 2025. La solución es actualizar a 6.1 hoy, ahora, en los próximos 30 minutos si es posible.
El proceso toma 5 minutos. El riesgo de no hacerlo: tu sitio se convierte en un acceso directo al panel administrativo de WordPress. No hay segundo lugar aquí.
Si tenés dudas sobre si tu sitio fue comprometido, ejecutá una auditoría post-actualización. Chequeá logs, usuarios, plugins, cambios recientes. Si encontrás evidencia de intruso, contactá a un especialista de WordPress security (sí, existe ese rol profesional, y a veces vale la pena).
Donweb tiene varios planes de hosting optimizado para WordPress si necesitás migrar o reconstruir desde cero. Pero primero, parchea. Eso es lo urgente.