Plataforma
wordpress
Componente
mtcaptcha
Corregido en
2.7.3
El plugin MTCaptcha para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en todas las versiones hasta la 2.7.2. Esta debilidad se debe a la falta o incorrecta validación de nonce en la funcionalidad de actualización de la configuración. Esto permite a atacantes no autenticados modificar la configuración del plugin, incluyendo valores sensibles como la clave privada, a través de una solicitud forjada si logran engañar a un administrador del sitio para que realice una acción.
Un atacante que explote esta vulnerabilidad CSRF puede modificar la configuración del plugin MTCaptcha, comprometiendo la seguridad del sitio web. La modificación de la clave privada, por ejemplo, podría permitir al atacante controlar el servicio de captcha, realizar acciones en nombre del sitio web o incluso acceder a información sensible. El ataque requiere que el atacante pueda engañar a un usuario con privilegios de administrador para que realice una acción específica, como hacer clic en un enlace malicioso. La falta de validación de nonce facilita la creación de estas solicitudes forjadas, reduciendo la barrera de entrada para los atacantes.
Esta vulnerabilidad ha sido publicada el 7 de enero de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace relativamente fácil de explotar. La falta de nonce validation es un patrón común en vulnerabilidades web y podría ser aprovechado por atacantes. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Websites utilizing the MTCaptcha WordPress plugin, particularly those with shared hosting environments where multiple administrators may have access. Legacy systems running older WordPress installations are also at increased risk, as they may not be regularly updated with the latest security patches.
• wordpress / composer / npm:
grep -r 'MTCaptcha/includes/settings.php' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep MTCaptcha• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress plugin directory for version 2.7.3 or higher.
disclosure
Estado del Exploit
EPSS
0.02% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin MTCaptcha a la versión 2.7.3 o superior, que corrige la validación de nonce. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la página de configuración del plugin y monitorear los registros del sitio web en busca de actividades sospechosas. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten modificar la configuración del plugin. Después de la actualización, confirme que la validación de nonce funciona correctamente intentando modificar la configuración del plugin a través de una solicitud forjada.
No hay parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13520 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin MTCaptcha para WordPress, que permite a atacantes modificar la configuración del plugin, incluyendo claves privadas, mediante solicitudes forjadas.
Si está utilizando el plugin MTCaptcha para WordPress en una versión anterior a 2.7.3, es vulnerable a esta vulnerabilidad.
Actualice el plugin MTCaptcha a la versión 2.7.3 o superior para corregir la validación de nonce.
No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace relativamente fácil de explotar.
Consulte la página oficial del plugin MTCaptcha para obtener la información más reciente y las actualizaciones de seguridad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.