Plataforma
wordpress
Componente
wp-change-status-notifier
Corregido en
1.0.1
La vulnerabilidad CVE-2025-13521 afecta al plugin WP Status Notifier para WordPress. Esta vulnerabilidad de Cross-Site Request Forgery (XSRF) permite a atacantes no autenticados modificar la configuración del plugin. Afecta a todas las versiones hasta la 1.0.0, incluyendo la 1.0. Se recomienda actualizar el plugin a la última versión disponible o implementar medidas de mitigación para proteger su sitio WordPress.
Un atacante puede explotar esta vulnerabilidad XSRF para modificar la configuración del plugin WP Status Notifier sin la autorización del administrador del sitio. Esto podría incluir cambiar la configuración de notificaciones, modificar la información de contacto o incluso deshabilitar funciones esenciales del plugin. La modificación de la configuración podría comprometer la integridad de los datos del sitio web y afectar la funcionalidad del plugin. Aunque la severidad es media, la facilidad de explotación y la posibilidad de afectar la configuración del sitio hacen que esta vulnerabilidad sea un riesgo significativo.
Esta vulnerabilidad fue publicada el 7 de enero de 2026. No se ha reportado explotación activa en campañas conocidas. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación es considerada baja debido a la necesidad de engañar a un administrador para que realice una acción específica.
WordPress websites utilizing the WP Status Notifier plugin, particularly those with multiple administrators or shared hosting environments, are at increased risk. Sites where administrators frequently click on links from untrusted sources are also more vulnerable. Legacy WordPress installations with outdated security practices are especially susceptible.
• wordpress / composer / npm:
grep -r 'wp_status_notifier_settings_update' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-status-notifier'• wordpress / composer / npm:
wp plugin auto-update --alldisclosure
Estado del Exploit
EPSS
0.02% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WP Status Notifier a la última versión disponible, que corrige la vulnerabilidad XSRF. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la habilitación de la autenticación de dos factores (2FA) para los administradores de WordPress. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para detectar y bloquear solicitudes XSRF maliciosas. Verifique que la configuración del plugin no permita acceso público a funciones sensibles.
No hay parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13521 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el plugin WP Status Notifier para WordPress que permite a atacantes modificar la configuración del plugin.
Sí, si está utilizando el plugin WP Status Notifier en versiones 1.0.0–1.0, es vulnerable a esta vulnerabilidad XSRF.
La solución es actualizar el plugin WP Status Notifier a la última versión disponible. Si no es posible, implemente medidas de mitigación como 2FA y reglas WAF.
Hasta el momento, no se ha reportado explotación activa de esta vulnerabilidad en campañas conocidas.
Consulte la página web del plugin WP Status Notifier o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.