Plataforma
wordpress
Componente
buddypress-humanity
Corregido en
1.2.1
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Buddypress Humanity. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado, comprometiendo la integridad del sitio web. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.2, inclusive. Una actualización a la versión 1.2.1 resuelve este problema.
Un atacante puede explotar esta vulnerabilidad para realizar acciones como cambiar la configuración del sitio, publicar contenido malicioso o incluso tomar el control de cuentas de usuario. El impacto potencial es significativo, ya que un atacante podría comprometer la confidencialidad, integridad y disponibilidad del sitio web. La naturaleza de CSRF permite a los atacantes engañar a los usuarios para que realicen acciones sin su conocimiento, lo que dificulta la detección y prevención. Esta vulnerabilidad es similar a otros ataques CSRF que han afectado a plataformas WordPress en el pasado, donde la falta de protección adecuada contra CSRF permitió la manipulación de solicitudes.
La vulnerabilidad fue publicada el 9 de abril de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Es importante aplicar la mitigación lo antes posible para evitar posibles ataques. No se ha añadido a KEV al momento de la redacción.
WordPress websites utilizing the Buddypress Humanity plugin, particularly those with shared hosting environments or legacy configurations, are at increased risk. Sites with weak password policies or users who frequently click on suspicious links are also more vulnerable to CSRF attacks.
• wordpress / composer / npm:
grep -r 'humanity_settings_update' /var/www/html/wp-content/plugins/• generic web:
curl -I https://example.com/wp-content/plugins/buddypress-humanity/ | grep -i 'csrf-token'disclosure
Estado del Exploit
EPSS
0.17% (39% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Buddypress Humanity a la versión 1.2.1 o superior. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de las solicitudes y la implementación de tokens CSRF en las acciones críticas. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que puedan indicar un ataque CSRF. Verifique que la actualización se haya completado correctamente revisando la versión del plugin en el panel de administración de WordPress.
Actualice el plugin Buddypress Humanity a la última versión disponible para mitigar la vulnerabilidad de CSRF. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Implemente medidas de seguridad adicionales, como la validación de entrada y la codificación de salida, para prevenir futuros ataques CSRF.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-31033 is a critical Cross-Site Request Forgery (CSRF) vulnerability affecting the Buddypress Humanity WordPress plugin, allowing attackers to perform unauthorized actions.
Yes, if you are using Buddypress Humanity versions 0.0.0 through 1.2, you are affected by this vulnerability.
Upgrade the Buddypress Humanity plugin to version 1.2.1 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
While no public exploits are currently known, the CSRF nature of the vulnerability suggests a moderate probability of exploitation.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.