Plataforma
wordpress
Componente
noindex-by-path
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Noindex by Path para WordPress. Esta vulnerabilidad permite a un atacante ejecutar scripts maliciosos en el contexto del usuario autenticado, lo que puede resultar en XSS almacenado. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.0 inclusive. Se recomienda actualizar el plugin a la última versión disponible o implementar medidas de mitigación.
La vulnerabilidad CSRF en Noindex by Path permite a un atacante, sin necesidad de autenticación previa, realizar acciones en nombre de un usuario autenticado en el sitio web WordPress. En este caso, el atacante puede inyectar código JavaScript malicioso que se almacenará en la base de datos y se ejecutará cada vez que un usuario visite una página afectada. Esto puede resultar en el robo de cookies de sesión, la modificación de contenido del sitio web, o incluso el control total del sitio. La combinación con XSS almacenado amplifica significativamente el impacto, permitiendo la ejecución de código arbitrario en el navegador del usuario.
La vulnerabilidad CVE-2025-49353 fue publicada el 31 de diciembre de 2025. No se ha reportado explotación activa en la naturaleza, pero la combinación de CSRF y XSS almacenado la convierte en un objetivo atractivo para atacantes. Es importante monitorear la actividad del sitio web y aplicar las mitigaciones recomendadas lo antes posible. La vulnerabilidad podría ser aprovechada por actores maliciosos con el objetivo de comprometer sitios web WordPress que utilizan el plugin Noindex by Path.
Websites using the Noindex by Path WordPress plugin, particularly those with user accounts or sensitive data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r "noindex_by_path" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep noindex-by-path• wordpress / composer / npm:
wp plugin update noindex-by-pathdisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Noindex by Path a la última versión disponible, que debería corregir la vulnerabilidad CSRF. Si la actualización no es inmediatamente posible, se pueden implementar medidas temporales. Implementar una política de Content Security Policy (CSP) estricta puede ayudar a mitigar el riesgo de XSS. Además, se recomienda revisar y fortalecer las medidas de seguridad existentes en el sitio web WordPress, como la implementación de un firewall de aplicaciones web (WAF) y la validación de todas las entradas del usuario. Una vez aplicada la actualización, verificar que la vulnerabilidad ha sido corregida revisando el código fuente del plugin y realizando pruebas de penetración.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49353 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Noindex by Path para WordPress que permite la inyección de XSS almacenado.
Si está utilizando el plugin Noindex by Path en su sitio web WordPress en versiones desde 0.0.0 hasta la 1.0 inclusive, es vulnerable a esta vulnerabilidad.
Actualice el plugin Noindex by Path a la última versión disponible. Si no es posible, implemente medidas de mitigación temporales como CSP y un WAF.
Aunque no se ha reportado explotación activa, la combinación de CSRF y XSS almacenado la convierte en un objetivo atractivo para atacantes.
Consulte la página web del desarrollador de Noindex by Path o el repositorio oficial del plugin en WordPress.org para obtener la información más reciente.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.