Newsletter – Send awesome emails from WordPress <= 9.1.0 - Cross-Site Request Forgery a la cancelación de suscripción a Newsletter
Plataforma
wordpress
Componente
newsletter
Corregido en
9.1.1
El plugin Newsletter para WordPress, utilizado para enviar correos electrónicos masivos, presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF). Esta falla permite a atacantes no autenticados desuscribir a los suscriptores del boletín, engañando a usuarios autenticados para que realicen acciones maliciosas. La vulnerabilidad afecta a todas las versiones del plugin desde 0.0.0 hasta la 9.1.0, y se ha solucionado en la versión 9.1.1.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante puede explotar esta vulnerabilidad CSRF para desuscribir a los suscriptores del boletín sin su consentimiento. Esto podría resultar en la pérdida de clientes potenciales, daño a la reputación y una disminución en la efectividad de las campañas de marketing. El ataque se basa en engañar a un usuario autenticado para que visite una URL maliciosa que contenga una solicitud falsificada de desuscripción. La falta de validación adecuada de tokens nonce en la función hooknewsletteraction() es la causa raíz de la vulnerabilidad. Un ataque exitoso podría afectar significativamente la base de datos de suscriptores y la capacidad de comunicación de la organización.
Contexto de Explotación
Esta vulnerabilidad fue publicada el 20 de enero de 2026. No se ha reportado explotación activa en campañas conocidas a la fecha. La vulnerabilidad se encuentra en el catálogo KEV de CISA con una probabilidad de explotación de baja a media, dada la necesidad de engañar a un usuario autenticado para que ejecute la solicitud maliciosa. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Quién Está en Riesgotraduciendo…
WordPress sites utilizing the Newsletter plugin are at risk. Specifically, sites with a large subscriber base or those relying heavily on email marketing are more vulnerable. Shared hosting environments where plugin updates are managed by the hosting provider may also be at increased risk if updates are not applied promptly.
Pasos de Deteccióntraduciendo…
• wordpress / composer / npm:
grep -r 'hook_newsletter_action()' /var/www/html/wp-content/plugins/newsletter/• wordpress / composer / npm:
wp plugin list | grep newsletter• wordpress / composer / npm:
wp plugin update newsletter --all• generic web: Check WordPress plugin directory for reports of CVE-2026-1051 exploitation.
Cronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.01% (3% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Información del paquete
- Instalaciones activas
- 200KPopular
- Valoración del plugin
- 4.6
- Requiere WordPress
- 6.1+
- Compatible hasta
- 6.9.4
- Requiere PHP
- 7.0+
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal es actualizar el plugin Newsletter a la versión 9.1.1 o superior, que incluye la corrección para esta vulnerabilidad CSRF. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la restricción del acceso al panel de administración de WordPress y la implementación de un Web Application Firewall (WAF) que pueda detectar y bloquear solicitudes CSRF. Además, se puede considerar la implementación de una política de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts, reduciendo el riesgo de ataques CSRF. Después de la actualización, confirme que la validación de nonce se está realizando correctamente revisando el código fuente del plugin.
Cómo corregirlo
Actualizar a la versión 9.1.1, o una versión parcheada más reciente
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentes
What is CVE-2026-1051 — CSRF en Newsletter para WordPress?
CVE-2026-1051 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Newsletter para WordPress que permite a atacantes desuscribir suscriptores mediante solicitudes falsas.
Am I affected by CVE-2026-1051 en Newsletter para WordPress?
Si está utilizando el plugin Newsletter para WordPress en versiones desde 0.0.0 hasta 9.1.0, es vulnerable a esta vulnerabilidad.
How do I fix CVE-2026-1051 en Newsletter para WordPress?
Actualice el plugin Newsletter a la versión 9.1.1 o superior para solucionar la vulnerabilidad.
Is CVE-2026-1051 being actively exploited?
Hasta la fecha, no se ha reportado explotación activa de esta vulnerabilidad en campañas conocidas, pero se recomienda monitorear la situación.
Where can I find the official Newsletter advisory for CVE-2026-1051?
Consulte el sitio web oficial del plugin Newsletter o el repositorio de WordPress para obtener información y actualizaciones sobre esta vulnerabilidad.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.