Plataforma
wordpress
Componente
social-profilr-display-social-network-profile
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Social Profilr para WordPress. Esta vulnerabilidad permite la ejecución de código JavaScript malicioso a través de XSS almacenado, comprometiendo la seguridad de los usuarios. Afecta a las versiones desde 0.0.0 hasta la 1.0 inclusive. Se recomienda actualizar el plugin a la última versión disponible o implementar medidas de mitigación.
La vulnerabilidad CSRF en Social Profilr permite a un atacante realizar acciones en nombre de un usuario autenticado sin su consentimiento. En este caso, la vulnerabilidad se combina con XSS almacenado, lo que significa que un atacante puede inyectar código JavaScript malicioso que se ejecutará cuando otros usuarios visiten una página afectada. Esto podría resultar en el robo de credenciales, la modificación de datos del usuario, o incluso el control total de la cuenta del usuario. El impacto se amplifica por la naturaleza de Social Profilr, que a menudo muestra información sensible de redes sociales, lo que podría exponer datos personales a un atacante.
La vulnerabilidad fue publicada el 31 de diciembre de 2025. No se han reportado activamente campañas de explotación en este momento, pero la combinación de CSRF y XSS almacenado la convierte en un objetivo atractivo para los atacantes. Es importante implementar las mitigaciones recomendadas para reducir el riesgo de explotación. La vulnerabilidad no se encuentra en el KEV de CISA ni tiene una puntuación EPSS asignada.
Websites utilizing the Social Profilr WordPress plugin, particularly those with user accounts and social network integration, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially impact others.
• wordpress / plugin:
grep -r 'socialprofilr_display_social_network_profile' /var/www/html/wp-content/plugins/• wordpress / plugin:
wp plugin list --status=inactive | grep socialprofilr• wordpress / plugin:
wp plugin list | grep socialprofilrdisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Social Profilr a la última versión disponible, que debería incluir una corrección para esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la validación de los tokens CSRF en todas las solicitudes. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten explotar la vulnerabilidad CSRF. Monitorear los logs del servidor en busca de patrones de tráfico inusuales también puede ayudar a detectar y prevenir ataques.
No se conoce ninguna solución disponible. Revise a fondo los detalles de la vulnerabilidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49343 is a Cross-Site Request Forgery (CSRF) vulnerability in the Social Profilr WordPress plugin, allowing attackers to perform actions as authenticated users and potentially execute Stored XSS.
You are affected if your WordPress site uses the Social Profilr plugin and is running version 0.0.0 through 1.0. Immediate mitigation is recommended.
Upgrade to a patched version of the Social Profilr plugin as soon as it becomes available. Until then, implement input validation and consider using a WAF.
There is currently no confirmed active exploitation of CVE-2025-49343, but the HIGH severity score indicates a potential risk.
Refer to the Social Profilr plugin's official website or WordPress plugin repository for updates and advisories regarding CVE-2025-49343.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.