CVE-2025-62880: CSRF en Custom 404 Pro para WordPress
Plataforma
wordpress
Componente
custom-404-pro
Corregido en
3.12.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Custom 404 Pro para WordPress. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado sin su conocimiento. La vulnerabilidad afecta a versiones desde 0.0.0 hasta la 3.12.0, y se recomienda actualizar a la versión 3.12.1 para solucionar el problema.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante podría explotar esta vulnerabilidad para realizar acciones como modificar la configuración del plugin, cambiar las redirecciones personalizadas o incluso acceder a información sensible si el plugin tiene acceso a datos confidenciales. El impacto potencial incluye la alteración de la funcionalidad del sitio web, la exposición de datos sensibles y la posible toma de control del sitio. Aunque no se han reportado ataques activos relacionados con esta vulnerabilidad, la naturaleza de CSRF la convierte en un riesgo significativo, especialmente en sitios con configuraciones de seguridad débiles.
Contexto de Explotación
Esta vulnerabilidad fue publicada el 22 de diciembre de 2025. No se ha listado en el KEV de CISA ni se han identificado públicamente pruebas de concepto (PoC). La probabilidad de explotación se considera baja a moderada, dada la falta de PoC disponibles y la necesidad de que un atacante conozca la existencia de la vulnerabilidad y la configuración del sitio web.
Quién Está en Riesgotraduciendo…
WordPress websites utilizing the Custom 404 Pro plugin, particularly those running older versions (0.0.0–3.12.0), are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites with administrator accounts that are frequently used or have weak passwords are particularly vulnerable.
Pasos de Deteccióntraduciendo…
• wordpress / composer / npm:
grep -r 'Custom 404 Pro' /var/www/html/wp-content/plugins/
wp plugin list | grep 'Custom 404 Pro'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=custom_404_pro_save_settings&setting_name=some_setting&setting_value=some_value | grep HTTP/1.1Cronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Información del paquete
- Valoración del plugin
- 4.2
- Requiere WordPress
- 3.0.1+
- Compatible hasta
- 6.9.4
- Requiere PHP
- 7.4+
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal es actualizar el plugin Custom 404 Pro a la versión 3.12.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida adicional, implemente políticas de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts, lo que puede ayudar a mitigar el riesgo de ataques CSRF. Monitoree los registros del servidor en busca de solicitudes sospechosas que puedan indicar un intento de explotación.
Cómo corregirlo
Actualizar a la versión 3.12.1 o una versión parcheada más reciente
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentes
What is CVE-2025-62880 — CSRF en Custom 404 Pro?
CVE-2025-62880 describe una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Custom 404 Pro para WordPress, permitiendo acciones no autorizadas.
Am I affected by CVE-2025-62880 en Custom 404 Pro?
Si está utilizando Custom 404 Pro en versiones desde 0.0.0 hasta 3.12.0, es vulnerable. Actualice a la versión 3.12.1 o superior.
How do I fix CVE-2025-62880 en Custom 404 Pro?
Actualice el plugin Custom 404 Pro a la versión 3.12.1 o superior. Realice una copia de seguridad antes de actualizar.
Is CVE-2025-62880 being actively exploited?
No se han reportado ataques activos relacionados con esta vulnerabilidad, pero el riesgo existe debido a la naturaleza de CSRF.
Where can I find the official Custom 404 Pro advisory for CVE-2025-62880?
Consulte la página del plugin Custom 404 Pro en el repositorio de WordPress o el sitio web del desarrollador para obtener información oficial.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.