Plataforma
wordpress
Componente
sosh-share-buttons
Corregido en
1.1.1
El plugin Sosh Share Buttons para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (XSRF) en todas las versiones hasta la 1.1.0. Esta debilidad se debe a la falta de validación de nonce en la función 'adminpagecontent'. Esto permite a atacantes no autenticados modificar la configuración del plugin si logran engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace.
Un atacante podría explotar esta vulnerabilidad para modificar la configuración del plugin Sosh Share Buttons sin la autorización del administrador del sitio. Esto podría incluir cambiar la URL de redirección, modificar los botones de compartir o incluso insertar código malicioso en la configuración del plugin. El impacto potencial es la manipulación del contenido del sitio web, la redirección de usuarios a sitios maliciosos o la inyección de scripts dañinos. Aunque la severidad es moderada, la facilidad de explotación y la posibilidad de afectar la experiencia del usuario hacen que esta vulnerabilidad sea preocupante.
Esta vulnerabilidad fue publicada el 14 de enero de 2026. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad XSRF la hace relativamente fácil de explotar. Se recomienda a los administradores de sitios web que actualicen el plugin lo antes posible para mitigar el riesgo.
WordPress websites using the Sosh Share Buttons plugin, particularly those with shared hosting environments or where administrators are susceptible to phishing attacks, are at risk. Sites with outdated plugin versions are especially vulnerable.
• wordpress / composer / npm:
grep -r 'admin_page_content' /var/www/html/wp-content/plugins/sosh-share-buttons/• wordpress / composer / npm:
wp plugin list | grep 'sosh-share-buttons'• wordpress / composer / npm:
wp plugin update sosh-share-buttons --alldisclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Sosh Share Buttons a una versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar algunas medidas de mitigación. Deshabilitar temporalmente el plugin puede reducir el riesgo inmediato. Implementar una política de seguridad de contraseñas robusta y habilitar la autenticación de dos factores para los administradores del sitio puede dificultar que un atacante obtenga acceso. Monitorear los registros del sitio web en busca de solicitudes sospechosas puede ayudar a detectar y responder a intentos de explotación.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15377 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el plugin Sosh Share Buttons para WordPress, que permite a atacantes no autenticados modificar la configuración del plugin.
Sí, si está utilizando el plugin Sosh Share Buttons en una versión anterior a la 1.1.0, es vulnerable a esta vulnerabilidad.
La solución es actualizar el plugin Sosh Share Buttons a la última versión disponible. Mientras tanto, deshabilitar el plugin o implementar medidas de seguridad adicionales puede mitigar el riesgo.
Aunque no se han reportado explotaciones activas, la naturaleza de la vulnerabilidad XSRF la hace susceptible a ataques, por lo que se recomienda actualizar el plugin lo antes posible.
Consulte el sitio web de WordPress y el repositorio del plugin Sosh Share Buttons para obtener información oficial y actualizaciones sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.