Plataforma
wordpress
Componente
auto-post-to-social-media-wp-to-social-champ
Corregido en
1.3.6
El plugin Auto Post to Social Media from Social Champ para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF). Esta falla permite a atacantes no autenticados modificar la configuración del plugin si pueden engañar a un administrador del sitio para que realice una acción específica, como hacer clic en un enlace malicioso. La vulnerabilidad afecta a las versiones desde 1.0.0 hasta la 1.3.5, inclusive. La solución es actualizar el plugin a la versión 1.3.6.
Un atacante que explote esta vulnerabilidad CSRF podría modificar la configuración del plugin Auto Post to Social Media from Social Champ sin la autorización del administrador del sitio. Esto podría incluir la modificación de cuentas de redes sociales conectadas, la alteración de la programación de publicaciones o incluso la inserción de código malicioso en las publicaciones. El impacto potencial es la pérdida de control sobre las cuentas de redes sociales conectadas al plugin, la difusión de contenido no autorizado y el compromiso de la reputación del sitio web. La falta de validación de nonce en la función wpscsettingstab_menu es la causa raíz de esta vulnerabilidad, permitiendo que las solicitudes maliciosas sean procesadas como legítimas.
Esta vulnerabilidad fue publicada el 14 de enero de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de las vulnerabilidades CSRF las hace susceptibles a ataques automatizados. La baja complejidad de la explotación y la amplia base de usuarios de WordPress aumentan el riesgo potencial. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Websites utilizing the Social Champ plugin, particularly those with administrators who are not adequately trained in security best practices, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r 'wpsc_settings_tab_menu' /var/www/html/wp-content/plugins/social-champ/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/social-champ/ | grep -i 'wpsc_settings_tab_menu'disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Auto Post to Social Media from Social Champ a la versión 1.3.6 o superior, que incluye la corrección de la validación de nonce. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la configuración del plugin a usuarios autorizados y monitorear los registros del sitio web en busca de actividades sospechosas. Además, se puede considerar el uso de un firewall de aplicaciones web (WAF) para bloquear solicitudes CSRF conocidas. Después de la actualización, confirme que la validación de nonce está funcionando correctamente revisando el código fuente del plugin o utilizando herramientas de seguridad para WordPress.
Actualizar a la versión 1.3.6, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14846 es una vulnerabilidad CSRF en el plugin Auto Post to Social Media from Social Champ para WordPress, permitiendo a atacantes modificar la configuración del plugin sin autorización.
Si está utilizando el plugin Auto Post to Social Media from Social Champ en versiones 1.0.0–1.3.5, es vulnerable a esta vulnerabilidad.
Actualice el plugin a la versión 1.3.6 o superior para corregir la vulnerabilidad.
Aunque no se ha reportado explotación activa, la naturaleza de las vulnerabilidades CSRF las hace susceptibles a ataques automatizados.
Consulte la página web del plugin o el repositorio de WordPress para obtener la información más reciente sobre la vulnerabilidad y la actualización.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.