Plataforma
wordpress
Componente
user-profile-meta
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin User Profile Meta Manager. Esta falla permite a un atacante, mediante la creación de solicitudes web maliciosas, escalar privilegios y potencialmente acceder o modificar información sensible de los perfiles de usuario. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.02 inclusive. Se recomienda actualizar el plugin a la última versión disponible o implementar medidas de mitigación para reducir el riesgo.
La vulnerabilidad CSRF en User Profile Meta Manager permite a un atacante engañar a un usuario autenticado para que ejecute acciones no deseadas en su nombre. Un atacante podría, por ejemplo, modificar la información del perfil de usuario, cambiar contraseñas o incluso crear nuevos usuarios con privilegios elevados. El impacto potencial es significativo, ya que podría comprometer la integridad y confidencialidad de los datos de los usuarios. La severidad CRÍTICA del CVSS indica que la explotación es relativamente sencilla y el impacto es alto, lo que la convierte en una amenaza seria para los sitios web que utilizan este plugin.
Actualmente, no se dispone de información sobre campañas de explotación activas dirigidas a esta vulnerabilidad. Sin embargo, dada la severidad CRÍTICA y la facilidad de explotación de las vulnerabilidades CSRF, es probable que esta vulnerabilidad sea objeto de escaneo y explotación por parte de atacantes. No se ha añadido a KEV, y la puntuación EPSS no está disponible. Se recomienda monitorear los registros del servidor y las alertas de seguridad para detectar cualquier actividad sospechosa.
WordPress sites utilizing the User Profile Meta Manager plugin, particularly those with users having elevated privileges (e.g., administrators, editors). Shared hosting environments are at increased risk, as vulnerabilities in plugins can impact multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r 'user_profile_meta' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-post.php?action=user_profile_meta_update&... # Check for lack of CSRF tokensdisclosure
Estado del Exploit
EPSS
0.14% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin User Profile Meta Manager a la última versión disponible, que debería corregir la vulnerabilidad CSRF. Si la actualización no es inmediatamente posible, se pueden implementar medidas de mitigación temporales. Estas incluyen la implementación de tokens CSRF en todas las acciones críticas que modifican la información del perfil de usuario. También se recomienda implementar una política de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes críticas requieren autenticación y validación de tokens CSRF.
Actualice el plugin User Profile Meta Manager a la última versión disponible para mitigar la vulnerabilidad de CSRF que permite la escalada de privilegios. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización. Implemente medidas de seguridad adicionales, como la validación de entrada y la codificación de salida, para prevenir futuros ataques CSRF.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48340 is a critical Cross-Site Request Forgery (CSRF) vulnerability in the User Profile Meta Manager plugin for WordPress, allowing attackers to potentially escalate privileges.
You are affected if your WordPress site uses the User Profile Meta Manager plugin in versions 0.0.0 through 1.02. Upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of the plugin. Until then, implement input validation and CSRF tokens.
While no active exploitation campaigns have been confirmed, the CRITICAL severity suggests a high potential for exploitation.
Check the plugin developer's website and WordPress plugin repository for updates and security advisories related to CVE-2025-48340.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.