Plataforma
wordpress
Componente
web-to-sugarcrm-lead
Corregido en
1.0.1
La vulnerabilidad CVE-2025-13361 afecta al plugin Web to SugarCRM Lead para WordPress, permitiendo ataques de Cross-Site Request Forgery (CSRF). Esta falla se debe a la falta de validación de nonce en la funcionalidad de eliminación de campos personalizados, lo que facilita la manipulación de la configuración del plugin. Las versiones afectadas son 1.0.0 y anteriores. La solución es actualizar al plugin a la versión 1.0.1.
Un atacante puede explotar esta vulnerabilidad para eliminar campos personalizados de la base de datos de SugarCRM, lo que podría alterar la estructura de los datos y afectar la funcionalidad del sistema. El ataque requiere que el atacante pueda engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace malicioso. La eliminación de campos personalizados puede interrumpir los flujos de trabajo de gestión de clientes potenciales y potencialmente comprometer la integridad de los datos. Aunque el impacto directo es limitado a la manipulación de campos personalizados, la explotación exitosa podría ser un paso en un ataque más amplio contra el sistema SugarCRM integrado.
La vulnerabilidad fue publicada el 21 de diciembre de 2025. No se ha reportado actividad de explotación activa en campañas conocidas. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de interacción del usuario (administrador) para que el ataque sea exitoso, aunque la disponibilidad de un PoC podría aumentar el riesgo.
Websites utilizing the Web to SugarCRM Lead plugin for WordPress integration, particularly those with shared administrator accounts or those that are frequently targeted by phishing attacks, are at risk. Sites with custom fields critical to their SugarCRM data synchronization are especially vulnerable.
• wordpress / composer / npm:
grep -r 'delete_custom_field' /var/www/wordpress/wp-content/plugins/web-to-sugar-crm-lead/• wordpress / composer / npm:
wp plugin list --status=active | grep 'web-to-sugar-crm-lead'• generic web: Check WordPress plugin directory for updates and security advisories related to the Web to SugarCRM Lead plugin. • generic web: Review WordPress access logs for suspicious POST requests targeting custom field deletion endpoints.
disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Web to SugarCRM Lead a la versión 1.0.1, que incluye la corrección de la vulnerabilidad CSRF. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la administración del plugin solo a usuarios autorizados y monitorear los registros del servidor en busca de actividades sospechosas. Implementar una política de seguridad de contraseñas robusta y habilitar la autenticación de dos factores para los administradores también puede ayudar a reducir el riesgo de explotación. Después de la actualización, confirme la mitigación revisando los registros del plugin y verificando que la funcionalidad de eliminación de campos personalizados ahora requiera una validación de nonce.
Actualizar a la versión 1.0.1, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13361 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Web to SugarCRM Lead para WordPress, que permite a atacantes no autenticados eliminar campos personalizados.
Si está utilizando el plugin Web to SugarCRM Lead en versiones 1.0.0 o anteriores, es vulnerable a esta vulnerabilidad. Actualice a la versión 1.0.1 para corregir el problema.
La solución es actualizar el plugin Web to SugarCRM Lead a la versión 1.0.1 a través del panel de administración de WordPress.
Hasta la fecha, no se ha reportado actividad de explotación activa en campañas conocidas, pero la vulnerabilidad es pública y podría ser explotada.
Consulte la página de WordPress del plugin o el sitio web del desarrollador para obtener la información más reciente sobre la vulnerabilidad y la actualización.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.