Plataforma
wordpress
Componente
career-section
Corregido en
1.6.1
1.7
El plugin Career Section para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF) que permite a los atacantes realizar ataques de Path Traversal y eliminar archivos arbitrarios del servidor. Esta vulnerabilidad se debe a la falta de validación de nonce y a una validación insuficiente de la ruta del archivo en la función 'appformoptionspage_html'. La versión afectada es cualquier versión hasta la 1.6, inclusive. La solución es actualizar el plugin a la versión 1.7.
Un atacante puede explotar esta vulnerabilidad para eliminar archivos críticos del servidor, comprometiendo la integridad y confidencialidad de los datos. El ataque se realiza a través de una solicitud forjada, engañando a un administrador del sitio para que ejecute una acción que elimine archivos. La eliminación de archivos de configuración, archivos de base de datos o archivos del núcleo de WordPress podría resultar en la denegación de servicio, la pérdida de datos o incluso el control total del servidor. Esta vulnerabilidad es particularmente peligrosa porque no requiere autenticación, lo que significa que cualquier usuario puede intentar explotarla.
Esta vulnerabilidad ha sido publicada el 2026-04-16. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF y Path Traversal la hace susceptible a ataques automatizados. La falta de autenticación necesaria para la explotación aumenta el riesgo. Se recomienda monitorear los sistemas WordPress en busca de actividad sospechosa.
Websites utilizing the Career Section plugin, particularly those with WordPress administrators who are susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a successful exploit on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'appform_options_page_html' /var/www/html/wp-content/plugins/career-section/• wordpress / composer / npm:
wp plugin list | grep 'career-section'• wordpress / composer / npm:
wp plugin update career-section --version=1.7• generic web: Check WordPress plugin directory for outdated versions of Career Section.
disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Career Section a la versión 1.7, que corrige la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Estas medidas incluyen restringir el acceso al panel de administración de WordPress, implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes CSRF maliciosas y revisar regularmente los registros del servidor en busca de actividad sospechosa. Además, se recomienda deshabilitar temporalmente el plugin si no es esencial hasta que se pueda aplicar la actualización. Después de la actualización, confirme la mitigación revisando los permisos de archivo y la integridad del sistema.
Actualizar a la versión 1.7, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14868 is a Path Traversal vulnerability in the Career Section WordPress plugin allowing attackers to delete arbitrary files via CSRF. It affects versions up to 1.6.
If you are using the Career Section WordPress plugin version 1.6 or earlier, you are vulnerable to this Path Traversal attack.
Upgrade the Career Section plugin to version 1.7 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
While no active exploitation has been confirmed, the vulnerability's nature and reliance on CSRF suggest a potential for targeted attacks.
Refer to the plugin developer's website or the WordPress plugin directory for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.