Plataforma
wordpress
Componente
block-country
Corregido en
1.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) con XSS almacenada en el plugin Block Country para WordPress. Esta falla permite a atacantes inyectar scripts maliciosos a través de solicitudes falsificadas, comprometiendo la seguridad de los usuarios. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.0, inclusive. Una actualización a la versión 1.0.1 soluciona este problema.
La vulnerabilidad CSRF con XSS almacenada en Block Country permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario autenticado. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios maliciosos, la modificación de contenido del sitio web y, en última instancia, el control total de la cuenta del usuario. Un atacante podría, por ejemplo, modificar la configuración del sitio web o publicar contenido malicioso en nombre del usuario. La severidad de este ataque se agrava por la naturaleza persistente del XSS almacenado, que puede afectar a múltiples usuarios.
La vulnerabilidad fue publicada el 6 de noviembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. No se han encontrado pruebas públicas de PoC disponibles en el momento de la redacción. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada.
Websites utilizing the Block Country plugin, particularly those with user accounts or forms that accept user input, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromised plugin on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'nithinmaurya12 Block Country' /var/www/html/
wp plugin list | grep 'Block Country'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/block-country/ | grep -i 'x-frame-options'disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Block Country a la versión 1.0.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una política de seguridad de contenido (CSP) para restringir las fuentes de JavaScript permitidas en el sitio web. Además, revise los logs del servidor en busca de actividad sospechosa relacionada con el plugin Block Country.
Actualice el plugin Block Country a la última versión disponible para mitigar la vulnerabilidad de CSRF que permite la ejecución de código XSS almacenado. Consulte el repositorio del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48077 is a CSRF-based Stored XSS vulnerability in the Block Country WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using Block Country versions 0.0.0 through 1.0. Upgrade to 1.0.1 to mitigate the risk.
Upgrade the Block Country plugin to version 1.0.1 or later. Consider implementing CSRF protection measures if immediate upgrade is not possible.
As of 2025-11-06, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Check the Block Country plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.