Plataforma
wordpress
Componente
munk-sites
Corregido en
1.0.8
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en MetricThemes Munk Sites. Esta falla permite a atacantes realizar acciones no autorizadas en nombre de usuarios autenticados, comprometiendo la integridad de los datos y la funcionalidad del sitio. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.0.7, y se recomienda actualizar a la versión 1.0.8 para solucionar el problema.
La vulnerabilidad CSRF en Munk Sites permite a un atacante engañar a un usuario autenticado para que realice acciones no deseadas sin su conocimiento. Esto podría incluir la modificación de configuraciones del sitio, la creación o eliminación de contenido, o incluso el acceso a información sensible. Un atacante podría explotar esta vulnerabilidad enviando un enlace malicioso o incluyendo código malicioso en un sitio web externo que el usuario visita mientras está autenticado en Munk Sites. El impacto potencial es significativo, ya que un atacante podría comprometer la seguridad del sitio web y los datos de los usuarios.
La vulnerabilidad fue publicada el 7 de febrero de 2025. No se han reportado campañas de explotación activas a la fecha. No se encuentra en el KEV de CISA. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Websites using the MetricThemes Munk Sites plugin, particularly those with administrative access or sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'munk-sites/includes/class-munk-sites-admin.php' . |
grep -i 'wp_send_json'• generic web:
curl -I https://example.com/munk-sites/admin/ | grep -i 'csrf-token'disclosure
Estado del Exploit
EPSS
0.74% (73% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Munk Sites a la versión 1.0.8, que incluye la corrección para el problema CSRF. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación de tokens CSRF en todas las solicitudes críticas. Además, se aconseja educar a los usuarios sobre los riesgos de hacer clic en enlaces sospechosos o visitar sitios web no confiables. Después de la actualización, verifique que las solicitudes críticas requieran tokens CSRF válidos.
Actualice el plugin Munk Sites a la última versión disponible para mitigar la vulnerabilidad de CSRF. Esta actualización aborda la posibilidad de que un atacante ejecute acciones no autorizadas en su sitio web WordPress a través de solicitudes falsificadas. Asegúrese de realizar una copia de seguridad de su sitio antes de actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-25101 is a critical Cross-Site Request Forgery (CSRF) vulnerability affecting versions 0.0.0–1.0.7 of the MetricThemes Munk Sites WordPress plugin, allowing attackers to perform unauthorized actions.
You are affected if you are using the Munk Sites plugin in versions 0.0.0 through 1.0.7. Upgrade to 1.0.8 or later to mitigate the risk.
Upgrade the Munk Sites plugin to version 1.0.8 or later. If upgrading is not possible, implement a WAF with CSRF protection rules.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation. Monitor your site closely.
Refer to the MetricThemes website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.