Plataforma
wordpress
Componente
simple-stripe
Corregido en
0.9.18
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Simple Stripe para WordPress, que permite la ejecución de scripts XSS almacenados. Esta falla afecta a las versiones desde 0.0.0 hasta la 0.9.17, inclusive. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante ejecutar código JavaScript malicioso en el navegador de otros usuarios, comprometiendo sus sesiones y datos.
La vulnerabilidad CSRF con XSS almacenado en Simple Stripe permite a un atacante inyectar código JavaScript malicioso en las páginas del sitio web. Un atacante podría crear una página web maliciosa que, cuando la visita un usuario autenticado en el sitio WordPress con Simple Stripe instalado, enviaría solicitudes CSRF al sitio, aprovechando la vulnerabilidad para inyectar scripts XSS. Estos scripts podrían robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, modificar el contenido del sitio o realizar otras acciones en nombre del usuario. El riesgo es alto, especialmente si el sitio web maneja información sensible o se integra con otros servicios.
Esta vulnerabilidad fue publicada el 6 de noviembre de 2025. No se ha reportado explotación activa en entornos reales a la fecha. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar la actualización lo antes posible para evitar posibles ataques.
Websites using the ZIPANG Simple Stripe plugin, particularly those handling sensitive user data or financial transactions, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/simple-stripe/*• wordpress / composer / npm:
wp plugin list --status=inactive | grep simple-stripe• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress plugin directory for updates and security advisories related to Simple Stripe.
disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Simple Stripe a la versión 0.9.18 o superior, que incluye la corrección de la vulnerabilidad CSRF. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se recomienda implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes CSRF sospechosas. Además, revise los logs del servidor en busca de patrones de actividad inusuales que puedan indicar un intento de explotación.
Actualice el plugin Simple Stripe a la última versión disponible para mitigar la vulnerabilidad de CSRF que podría llevar a la ejecución de código XSS. Consulte la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48085 is a Stored Cross-Site Scripting (XSS) vulnerability in the ZIPANG Simple Stripe WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using ZIPANG Simple Stripe versions 0.0.0 through 0.9.17. Upgrade to 0.9.18 or later to mitigate the risk.
Upgrade the ZIPANG Simple Stripe plugin to version 0.9.18 or later. Consider a WAF rule as a temporary workaround if immediate upgrade is not possible.
No active exploitation has been confirmed as of 2025-11-06, but the vulnerability's nature suggests a moderate probability of exploitation.
Check the ZIPANG Simple Stripe plugin page on WordPress.org or the developer's website for the official advisory.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.