Plataforma
wordpress
Componente
mamurjor-employee-info
Corregido en
1.0.1
El plugin Mamurjor Employee Info para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta la 1.0.0. Esta vulnerabilidad se debe a la falta de validación de nonce en múltiples funciones administrativas. Esto permite a atacantes no autenticados crear, actualizar o eliminar registros de empleados, departamentos, designaciones, rangos salariales, registros educativos y pagos salariales mediante una solicitud falsificada.
Un atacante puede explotar esta vulnerabilidad para realizar acciones administrativas en un sitio WordPress sin la autorización del administrador. Esto incluye la creación de nuevos registros de empleados con información maliciosa, la modificación de registros existentes para alterar datos críticos, o la eliminación de registros importantes. El impacto potencial es significativo, ya que un atacante podría comprometer la integridad de la base de datos de empleados y obtener acceso a información confidencial. La falta de validación de nonce facilita la ejecución de estas acciones, ya que el atacante solo necesita engañar a un administrador para que realice la acción deseada a través de un enlace o formulario malicioso.
Esta vulnerabilidad fue publicada el 7 de enero de 2026. No se ha reportado explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. La probabilidad de explotación se considera baja, pero la facilidad de explotación hace que sea importante aplicar las mitigaciones.
WordPress sites utilizing the Mamurjor Employee Info plugin, particularly those managing sensitive employee data or with limited security controls, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'admin.php' /var/www/html/wp-content/plugins/mamurjor-employee-info/• wordpress / composer / npm:
wp plugin list --status=inactive | grep mamurjor-employee-info• wordpress / composer / npm:
wp plugin list | grep mamurjor-employee-infodisclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Mamurjor Employee Info a una versión corregida, si está disponible. Mientras tanto, se pueden implementar medidas de mitigación. Implementar una política de seguridad de contraseñas robusta y habilitar la autenticación de dos factores (2FA) para todos los usuarios con privilegios administrativos. Además, se recomienda utilizar un plugin de seguridad de WordPress que incluya protección contra CSRF. Restringir el acceso a las funciones administrativas a través de un firewall de aplicaciones web (WAF) o reglas de proxy que bloqueen solicitudes sospechosas. Finalmente, revisar regularmente los registros del sitio en busca de actividad inusual.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13990 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Mamurjor Employee Info para WordPress, permitiendo a atacantes realizar acciones administrativas sin autorización.
Si está utilizando el plugin Mamurjor Employee Info en la versión 1.0.0 o anterior, es vulnerable a esta vulnerabilidad de CSRF.
Actualice el plugin Mamurjor Employee Info a la última versión disponible. Si no hay una versión corregida, implemente medidas de mitigación como 2FA y un WAF.
Hasta el momento, no se ha reportado explotación activa de CVE-2025-13990, pero la facilidad de explotación requiere atención.
Consulte el sitio web del plugin Mamurjor Employee Info o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.