Plataforma
wordpress
Componente
clearfy
Corregido en
2.5.4
El plugin Clearfy Cache para WordPress, que incluye las funciones Minify HTML, CSS & JS y Defer, presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF). Esta falla, presente en versiones desde 0.0.0 hasta 2.4.0, se debe a la falta de validación de nonce en la función "wbcrupmchange_flag". La actualización a la versión 2.4.1 soluciona esta vulnerabilidad.
Un atacante puede aprovechar esta vulnerabilidad CSRF para deshabilitar las notificaciones de actualización del plugin Clearfy Cache. Esto podría impedir que los administradores del sitio web sean alertados sobre actualizaciones de seguridad importantes, dejando el sitio vulnerable a otras amenazas. El ataque requiere que el atacante pueda engañar a un administrador para que realice una acción, como hacer clic en un enlace malicioso. La falta de notificaciones de actualización puede llevar a la exposición prolongada a otras vulnerabilidades, aumentando el riesgo de compromiso del sitio web.
Esta vulnerabilidad fue publicada el 9 de enero de 2026. No se ha reportado explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. La probabilidad de explotación se considera baja dada la falta de PoCs públicos y la necesidad de interacción del usuario.
WordPress websites using the Clearfy Cache plugin, particularly those running versions 0.0.0 through 2.4.0, are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromised website could potentially be used to target other sites on the same server.
• wordpress / composer / npm:
grep -r 'wbcr_upm_change_flag' /var/www/html/wp-content/plugins/clearfy-cache/• wordpress / composer / npm:
wp plugin list --status=all | grep clearfy-cache• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/clearfy-cache/readme.txt | grep Versiondisclosure
Estado del Exploit
EPSS
0.02% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Clearfy Cache a la versión 2.4.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar una política de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts, reduciendo la superficie de ataque para ataques CSRF. Verifique después de la actualización que las notificaciones de actualización del plugin estén correctamente habilitadas.
Actualizar a la versión 2.4.1, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13749 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Clearfy Cache para WordPress, que permite a atacantes deshabilitar notificaciones de actualización.
Si está utilizando Clearfy Cache en versiones 0.0.0 hasta 2.4.0, es vulnerable a esta vulnerabilidad. Actualice a la versión 2.4.1 o superior.
Actualice el plugin Clearfy Cache a la versión 2.4.1 o superior. Realice una copia de seguridad antes de actualizar si es necesario.
Hasta el momento, no se ha reportado explotación activa de esta vulnerabilidad en campañas conocidas.
Consulte el sitio web oficial de Clearfy Cache o el repositorio del plugin en WordPress.org para obtener la información más reciente.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.