WordPress Wordpress Movies Bulk Importer plugin <= 1.0 - Vulnerabilidad de Cross Site Request Forgery (CSRF)
Plataforma
wordpress
Componente
movies-importer
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Movies Bulk Importer para WordPress. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado sin su conocimiento. Afecta a las versiones del plugin desde la versión inicial hasta la 1.0. Se recomienda aplicar las medidas de mitigación o actualizar el plugin a una versión corregida tan pronto como esté disponible.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante podría explotar esta vulnerabilidad para realizar acciones como modificar películas, cambiar la configuración del plugin o incluso ejecutar código malicioso si el usuario tiene permisos administrativos. El riesgo radica en la posibilidad de que un atacante pueda comprometer la integridad de la base de datos de películas y la seguridad general del sitio web WordPress. La explotación exitosa podría resultar en la manipulación de contenido, la pérdida de datos o incluso el control total del sitio web.
Contexto de Explotación
La vulnerabilidad fue publicada el 22 de enero de 2026. No se han reportado campañas de explotación activas conocidas hasta el momento. La probabilidad de explotación se considera moderada, dada la naturaleza común de las vulnerabilidades CSRF y la disponibilidad de herramientas para explotarlas. Se recomienda monitorear la situación y aplicar las mitigaciones recomendadas.
Quién Está en Riesgotraduciendo…
Websites utilizing the AA-Team Wordpress Movies Bulk Importer plugin, particularly those with a large user base or that handle sensitive movie data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially impact others.
Pasos de Deteccióntraduciendo…
• wordpress / composer / npm:
grep -r 'AA-Team Movies Bulk Importer' /var/www/html/
wp plugin list | grep 'Movies Bulk Importer'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=movies_bulk_importer_action¶m=malicious_param | grep -i 'csrf token'Cronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
Dado que no se proporciona una versión corregida, la mitigación principal se centra en la implementación de medidas de seguridad adicionales. Se recomienda implementar políticas de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts. Además, es crucial validar y sanear todas las entradas del usuario para prevenir ataques CSRF. Implementar tokens CSRF en todas las solicitudes sensibles puede ayudar a mitigar el riesgo. Considere utilizar un plugin de seguridad de WordPress que ofrezca protección CSRF.
Cómo corregirlo
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentes
What is CVE-2026-22359 — CSRF en Movies Bulk Importer de Wordpress?
CVE-2026-22359 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Movies Bulk Importer para WordPress, permitiendo a atacantes realizar acciones no autorizadas.
Am I affected by CVE-2026-22359 en Movies Bulk Importer de Wordpress?
Si está utilizando el plugin Movies Bulk Importer en versiones anteriores a la 1.0, es probable que esté afectado por esta vulnerabilidad.
How do I fix CVE-2026-22359 en Movies Bulk Importer de Wordpress?
Dado que no hay una versión corregida disponible, aplique medidas de mitigación como CSP, validación de entradas y tokens CSRF.
Is CVE-2026-22359 being actively exploited?
No se han reportado campañas de explotación activas conocidas, pero se recomienda monitorear la situación y aplicar las mitigaciones.
Where can I find the official Wordpress advisory for CVE-2026-22359?
Consulte el informe de vulnerabilidad en la base de datos de CVE para obtener más información: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-22359
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.