Plataforma
wordpress
Componente
sensitive-tag-cloud
Corregido en
1.4.2
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin SensitiveTagCloud para WordPress. Esta vulnerabilidad permite a un atacante ejecutar acciones no autorizadas en nombre de un usuario autenticado, lo que puede resultar en la inyección de código XSS almacenado. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.4.1, y se publicó el 31 de diciembre de 2025.
La vulnerabilidad CSRF en SensitiveTagCloud permite a un atacante, mediante la manipulación de solicitudes HTTP, ejecutar acciones en el sitio web WordPress sin la autorización del usuario. En este caso específico, la explotación exitosa de la vulnerabilidad CSRF puede llevar a la inyección de código XSS almacenado. Esto significa que el atacante puede insertar scripts maliciosos que se ejecutarán cada vez que un usuario visite una página que contenga el código inyectado. El impacto puede variar desde la visualización de mensajes de alerta hasta el robo de cookies de sesión, la redirección a sitios maliciosos o la modificación del contenido del sitio web.
La vulnerabilidad CVE-2025-49344 fue publicada el 31 de diciembre de 2025. Actualmente, no se dispone de información sobre la explotación activa de esta vulnerabilidad en entornos reales. No se ha añadido a la lista KEV de CISA ni se ha identificado un EPSS score. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles desarrollos.
Websites using the SensitiveTagCloud plugin, particularly those with user-generated content or forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'sensitive-tag-cloud/sensitive-tag-cloud' /var/www/html/
wp plugin list | grep sensitive-tag-cloud• generic web:
curl -I https://example.com/ | grep -i 'sensitive-tag-cloud'disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin SensitiveTagCloud a la última versión disponible, que incluye la corrección de la vulnerabilidad CSRF. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de las entradas del usuario y la implementación de políticas de seguridad de contenido (CSP). Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas. Verifique que la última versión del plugin esté instalada después de la actualización, revisando la información de la versión en el panel de administración de WordPress.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49344 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin SensitiveTagCloud para WordPress que permite la inyección de XSS almacenado.
Si está utilizando SensitiveTagCloud en versiones 0.0.0 hasta 1.4.1, es vulnerable. Actualice a la última versión disponible.
Actualice el plugin SensitiveTagCloud a la última versión disponible. Si no es posible, implemente mitigaciones como validación de entradas y CSP.
Actualmente, no hay evidencia de explotación activa, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
Consulte el sitio web oficial de SensitiveTagCloud o el repositorio de WordPress para obtener la información más reciente sobre la vulnerabilidad y la solución.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.