Plataforma
wordpress
Componente
cloudflare-cache-purge
Corregido en
1.2.1
La vulnerabilidad CVE-2025-22332 es una falla de Cross-Site Scripting (XSS) reflejado descubierta en CloudFlare(R) Cache Purge, un plugin para WordPress. Esta vulnerabilidad permite a un atacante inyectar código malicioso en las páginas web generadas, potencialmente comprometiendo la seguridad del sitio. Afecta a las versiones desde 0.0.0 hasta la 1.2, y se recomienda actualizar a la versión 1.2.1 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas web que utilizan CloudFlare(R) Cache Purge. Esto podría permitirles robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso ejecutar código arbitrario en el navegador del usuario. El impacto potencial es significativo, ya que un atacante podría comprometer la confidencialidad, integridad y disponibilidad del sitio web y sus datos. La inyección de scripts podría ser utilizada para realizar phishing, desfigurar el sitio web, o incluso obtener acceso a la base de datos del sitio WordPress.
La vulnerabilidad fue publicada el 31 de enero de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente susceptible a ataques. Es importante aplicar la mitigación lo antes posible para evitar posibles ataques. La vulnerabilidad no se encuentra en el KEV catalog de CISA.
WordPress websites utilizing the shanaver CloudFlare Cache Purge plugin, particularly those running older, unpatched versions (0.0.0–1.2), are at risk. Shared hosting environments where plugin updates are managed centrally may also be vulnerable if they haven't applied the patch.
• wordpress / composer / npm:
grep -r 'shanaver CloudFlare Cache Purge' /wp-content/plugins/
wp plugin list | grep 'cloudflare-cache-purge'• generic web:
curl -I 'https://example.com/?param=<script>alert(1)</script>' | grep 'Content-Security-Policy'disclosure
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar CloudFlare(R) Cache Purge a la versión 1.2.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad del sitio web antes de actualizar. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para filtrar las solicitudes que contengan código potencialmente malicioso. Además, revise los registros de acceso y error del servidor en busca de patrones sospechosos que puedan indicar un intento de explotación.
Actualice el plugin CloudFlare(R) Cache Purge a la última versión disponible para mitigar la vulnerabilidad de XSS. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Además, revise y sanee cualquier entrada de usuario que se utilice para generar contenido web.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-22332 is a Reflected XSS vulnerability in the CloudFlare Cache Purge plugin for WordPress, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using CloudFlare Cache Purge versions 0.0.0 through 1.2. Check your plugin version and upgrade immediately if necessary.
Upgrade the CloudFlare Cache Purge plugin to version 1.2.1 or later. Consider implementing input validation and output encoding as an additional precaution.
No active exploitation campaigns have been confirmed, but the vulnerability is publicly known and could be exploited.
Refer to the plugin's official repository or the shanaver developer's website for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.