Plataforma
wordpress
Componente
flashnews-fading-effect-pearlbells
Corregido en
4.1.1
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Flash News / Post (Responsive) de Pearlbells, así como en el plugin Post Title (TypeWriter). Esta vulnerabilidad permite la escalada de privilegios, lo que podría comprometer la seguridad del sitio web. Afecta a las versiones del plugin desde la versión desconocida hasta la 4.1, y se recomienda actualizar a la versión 4.1.1 para solucionar el problema.
La vulnerabilidad CSRF permite a un atacante realizar acciones en nombre de un usuario autenticado sin su conocimiento o consentimiento. En el contexto de Flash News / Post (Responsive) y Post Title (TypeWriter), un atacante podría modificar la configuración del plugin, publicar contenido malicioso o incluso tomar control del sitio web. El impacto es significativo, especialmente si el sitio web gestiona información sensible o permite a los usuarios realizar acciones críticas. Un atacante podría, por ejemplo, modificar las noticias destacadas para incluir enlaces maliciosos o alterar la apariencia del sitio web para engañar a los usuarios.
La vulnerabilidad fue publicada el 16 de diciembre de 2024. No se han reportado casos de explotación activa en campañas dirigidas, pero la naturaleza de CSRF hace que sea relativamente fácil de explotar. La alta puntuación CVSS indica un riesgo significativo. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción.
WordPress websites utilizing Pearlbells Flash News / Post (Responsive) or Pearlbells Post Title (TypeWriter) plugins, particularly those running older versions (≤4.1), are at significant risk. Shared hosting environments where plugin updates are not managed centrally are especially vulnerable, as are sites with administrative users who frequently click on links from untrusted sources.
• wordpress / composer / npm:
grep -r 'pearlbells_flash_news' /var/www/html/wp-content/plugins/
wp plugin list | grep pearlbells• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=pearlbells_flash_news_save_settings&nonce=malicious_noncedisclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Flash News / Post (Responsive) y Post Title (TypeWriter) a la versión 4.1.1. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una política de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts. Además, se recomienda revisar y fortalecer las políticas de contraseñas y la autenticación de usuarios para reducir el riesgo de ataques CSRF exitosos. Después de la actualización, verifique que las funciones críticas del plugin sigan funcionando correctamente y que no haya nuevas vulnerabilidades.
Actualice el plugin Flash News / Post (Responsive) a una versión posterior a la 4.1. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad CSRF. Esto evitará que atacantes exploten la vulnerabilidad para escalar privilegios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Flash News / Post (Responsive) de Pearlbells que permite la escalada de privilegios.
Sí, si está utilizando versiones del plugin Flash News / Post (Responsive) anteriores a la 4.1.1, es vulnerable a esta vulnerabilidad.
Actualice el plugin Flash News / Post (Responsive) a la versión 4.1.1. Realice una copia de seguridad antes de actualizar.
Aunque no se han reportado casos de explotación activa, la naturaleza de CSRF hace que sea fácil de explotar y el riesgo es significativo.
Consulte el sitio web de Pearlbells o los canales de comunicación oficiales para obtener información sobre la vulnerabilidad y las actualizaciones.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.