Plataforma
wordpress
Componente
stopwords-for-comments
Corregido en
1.1.1
El plugin Stopwords for comments para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (XSRF). Esta falla permite a atacantes no autenticados manipular la configuración del plugin, específicamente la adición o eliminación de stopwords, a través de solicitudes falsificadas. La vulnerabilidad afecta a todas las versiones del plugin hasta la 1.1. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación para proteger el sitio web.
Un atacante podría explotar esta vulnerabilidad engañando a un administrador del sitio web para que haga clic en un enlace malicioso o visite una página web comprometida. Al hacerlo, el atacante podría ejecutar acciones en nombre del administrador, como agregar o eliminar stopwords de la lista. Esto podría alterar el comportamiento del plugin y potencialmente afectar la funcionalidad del sitio web. La manipulación de stopwords puede influir en el filtrado de comentarios, permitiendo la publicación de contenido no deseado o la supresión de comentarios legítimos. Aunque el impacto directo es limitado, la explotación exitosa de una vulnerabilidad XSRF puede ser un punto de entrada para ataques más sofisticados.
La vulnerabilidad CVE-2025-15376 fue publicada el 14 de enero de 2026. No se ha reportado explotación activa en campañas conocidas. La probabilidad de explotación se considera media debido a la facilidad de ejecución de ataques XSRF y la amplia base de usuarios de WordPress. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar las medidas de mitigación lo antes posible.
WordPress sites utilizing the Stopwords for comments plugin, particularly those with shared hosting environments where plugin updates may be delayed, are at risk. Sites with less stringent administrator access controls are also more vulnerable to exploitation.
• wordpress / composer / npm:
grep -r 'set_stopwords_for_comments' /var/www/html/wp-content/plugins/stopwords-for-comments/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=set_stopwords_for_comments | grep -i '200 ok'disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Stopwords for comments a la última versión disponible, que incluye la corrección de la vulnerabilidad XSRF. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la habilitación de la verificación de nonce en todas las solicitudes relacionadas con la administración del plugin. Además, se aconseja implementar una Web Application Firewall (WAF) que pueda detectar y bloquear solicitudes XSRF. Revise regularmente los registros del servidor en busca de actividad sospechosa, como solicitudes inusuales a las funciones 'setstopwordsforcomments' o 'deletestopwordsforcomments'.
No hay un parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15376 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el plugin Stopwords for comments para WordPress, que permite a atacantes no autenticados manipular la configuración del plugin.
Si está utilizando el plugin Stopwords for comments en versiones anteriores a la 1.1, es vulnerable a esta vulnerabilidad XSRF.
Actualice el plugin Stopwords for comments a la última versión disponible. Si no es posible, implemente medidas de mitigación como la verificación de nonce y un WAF.
Hasta el momento, no se ha reportado explotación activa en campañas conocidas, pero se recomienda aplicar las medidas de mitigación.
Consulte el sitio web de WordPress y el repositorio del plugin Stopwords for comments para obtener información oficial y actualizaciones.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.