Plataforma
wordpress
Componente
onestore-sites
Corregido en
0.1.2
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin OneStore Sites para WordPress. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado, potencialmente comprometiendo la integridad de los datos del sitio. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 0.1.1, y se ha solucionado en la versión 0.1.2.
Un atacante podría aprovechar esta vulnerabilidad para realizar acciones maliciosas en un sitio WordPress que utilice OneStore Sites, como modificar la configuración del sitio, agregar o eliminar productos, o incluso realizar transacciones fraudulentas. El impacto potencial es significativo, ya que un atacante podría comprometer la seguridad y la integridad del sitio web, así como la información confidencial de los usuarios. La naturaleza de CSRF implica que el atacante no necesita conocer las credenciales del usuario, solo engañarlo para que visite una página maliciosa.
Esta vulnerabilidad ha sido publicada públicamente el 7 de febrero de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace inherentemente explotable. La baja complejidad de la explotación y la alta puntuación CVSS sugieren un riesgo significativo. No se ha añadido a KEV hasta la fecha.
WordPress sites using the sainwp OneStore Sites plugin, particularly those with user roles that have administrative privileges or access to sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'sainwp OneStore Sites' /var/www/html/
wp plugin list• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/onestore-sites/ | grep -i 'onestore-sites'disclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin OneStore Sites a la versión 0.1.2 o superior, donde se ha solucionado la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio antes de actualizar. Como medida adicional, implemente políticas de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts, lo que puede ayudar a mitigar el riesgo de ataques CSRF. Verifique que la actualización se haya completado correctamente revisando la versión del plugin en el panel de administración de WordPress.
Actualice el plugin OneStore Sites a la última versión disponible para mitigar la vulnerabilidad de Cross-Site Request Forgery (CSRF). Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Implemente medidas de seguridad adicionales, como la validación de entrada y la codificación de salida, para prevenir futuros ataques CSRF.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-25107 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin OneStore Sites para WordPress, permitiendo a atacantes realizar acciones no autorizadas.
Si está utilizando OneStore Sites en versiones desde 0.0.0 hasta 0.1.1, es vulnerable a esta vulnerabilidad. Verifique la versión del plugin en su sitio WordPress.
Actualice el plugin OneStore Sites a la versión 0.1.2 o superior para solucionar la vulnerabilidad. Realice una copia de seguridad antes de actualizar.
No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace inherentemente explotable.
Consulte el sitio web oficial de OneStore Sites o el repositorio de WordPress para obtener información y actualizaciones sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.