Plataforma
wordpress
Componente
recent-posts-from-each-category
Corregido en
1.4.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Recent Posts From Each Category para WordPress. Esta vulnerabilidad permite la ejecución de código JavaScript malicioso a través de XSS almacenado, comprometiendo potencialmente la confidencialidad e integridad de los datos. El problema afecta a las versiones desde 0.0.0 hasta la 1.4 inclusive. La solución recomendada es actualizar el plugin a la versión corregida disponible.
La vulnerabilidad CSRF en Recent Posts From Each Category permite a un atacante, mediante la manipulación de solicitudes HTTP, ejecutar acciones en nombre de un usuario autenticado sin su consentimiento. Dado que esta vulnerabilidad se combina con XSS almacenado, un atacante podría inyectar código JavaScript malicioso en el sitio web. Este código podría robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido del sitio web. El impacto potencial es significativo, pudiendo comprometer la seguridad de la información sensible y la reputación del sitio web.
La vulnerabilidad fue publicada el 31 de diciembre de 2025. Actualmente no se dispone de información sobre explotación activa en la naturaleza. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. La severidad se clasifica como ALTA debido al potencial de XSS almacenado.
Websites using the Recent Posts From Each Category plugin, particularly those with user accounts and sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'recent-posts-from-each-category' /var/www/html/wp-content/plugins/• generic web:
curl -I https://example.com/wp-content/plugins/recent-posts-from-each-category/ | grep -i 'content-security-policy'• wordpress / composer / npm:
wp plugin list --status=inactive | grep recent-posts-from-each-categorydisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Recent Posts From Each Category a la versión corregida, una vez que esté disponible. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la restricción de acceso a las funciones del plugin, la validación rigurosa de las entradas del usuario, y la implementación de políticas de seguridad de contenido (CSP) para mitigar el riesgo de XSS. Además, se recomienda monitorear los logs del servidor en busca de actividad sospechosa relacionada con el plugin.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49354 is a Cross-Site Request Forgery (CSRF) vulnerability in the Mindstien Technologies Recent Posts From Each Category WordPress plugin, allowing for Stored XSS attacks.
You are affected if you are using the Recent Posts From Each Category plugin in versions 0.0.0 through 1.4.
Upgrade to a patched version of the plugin as soon as it's available. Disable the plugin as a temporary workaround.
Active exploitation is not currently confirmed, but the vulnerability warrants careful monitoring.
Check the Mindstien Technologies website and the WordPress plugin repository for updates and advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.