Plataforma
wordpress
Componente
simcast
Corregido en
1.0.1
El plugin Simcast para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en todas las versiones hasta la 1.0.0. Esta debilidad se debe a la falta o validación incorrecta de nonce en la función settingsPage. Un atacante no autenticado podría aprovechar esta falla para modificar la configuración del plugin si logra engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace malicioso.
La vulnerabilidad CSRF en Simcast permite a un atacante, sin necesidad de autenticación, ejecutar acciones en nombre de un usuario autenticado, como un administrador del sitio WordPress. Esto podría resultar en la modificación de la configuración del plugin, lo que podría afectar la funcionalidad del sitio web o incluso comprometer la seguridad de los datos. Un atacante podría, por ejemplo, cambiar la URL de redirección, las opciones de visualización o cualquier otra configuración configurable a través de la interfaz del plugin. El impacto se amplifica si el plugin tiene acceso a información sensible o controla procesos críticos del sitio.
La vulnerabilidad fue publicada el 7 de enero de 2026. No se ha reportado explotación activa en campañas conocidas. No se encuentra listada en el KEV de CISA. La disponibilidad de un Proof of Concept (PoC) público podría facilitar la explotación de esta vulnerabilidad.
WordPress sites utilizing the Simcast plugin, particularly those with administrators who frequently click on links from untrusted sources, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources could also be affected if one site is compromised.
• wordpress / composer / npm:
grep -r 'settingsPage' /var/www/html/wp-content/plugins/simcast/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/simcast/settings.php | grep -i 'csrf token'disclosure
Estado del Exploit
EPSS
0.02% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Simcast a la última versión disponible, que debería incluir la validación correcta de nonce. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la restricción del acceso a la página de configuración del plugin a usuarios autenticados y la implementación de políticas de seguridad de contenido (CSP) para evitar la ejecución de scripts maliciosos. Además, se puede considerar el uso de un firewall de aplicaciones web (WAF) para detectar y bloquear solicitudes CSRF.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14077 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Simcast para WordPress, que permite a atacantes modificar la configuración del plugin sin autenticación.
Si está utilizando el plugin Simcast en versiones anteriores a 1.0.0, es vulnerable a esta vulnerabilidad. Verifique la versión del plugin y actualice si es necesario.
La solución recomendada es actualizar el plugin Simcast a la última versión disponible, que incluye la validación correcta de nonce. Si no puede actualizar, implemente medidas de seguridad adicionales.
Hasta el momento, no se ha reportado explotación activa de esta vulnerabilidad en campañas conocidas, pero la disponibilidad de un PoC podría cambiar esta situación.
Consulte el sitio web oficial de Simcast o el repositorio del plugin en WordPress.org para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.