Plataforma
wordpress
Componente
adstxt-guru-connect
Corregido en
1.1.2
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en ads.txt Guru Connect, afectando versiones desde 0.0.0 hasta la 1.1.1. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado, comprometiendo la configuración de anuncios. La versión 1.1.2 corrige esta vulnerabilidad, y se recomienda su aplicación inmediata.
La vulnerabilidad CSRF en ads.txt Guru Connect permite a un atacante engañar a un usuario autenticado para que ejecute acciones no deseadas. Esto podría incluir la modificación de la configuración de archivos ads.txt, la adición o eliminación de anunciantes autorizados, o incluso la alteración de la configuración del plugin. Un atacante podría explotar esta vulnerabilidad para redirigir el tráfico de anuncios a sitios maliciosos, comprometer la integridad de la publicidad y potencialmente dañar la reputación del sitio web. La severidad crítica del CVSS indica un alto riesgo de explotación y un impacto significativo en la seguridad.
Esta vulnerabilidad ha sido publicada el 2025-08-20. No se han reportado campañas de explotación activas conocidas al momento de la publicación. No se ha añadido a la lista KEV de CISA. La disponibilidad de un exploit público es desconocida, pero la alta puntuación CVSS sugiere que podría ser objeto de análisis y explotación por parte de actores maliciosos.
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar ads.txt Guru Connect a la versión 1.1.2 o superior. Si la actualización no es inmediatamente posible, se pueden implementar medidas temporales. Implementar una política de SameSite Cookies puede ayudar a mitigar el riesgo de CSRF. Además, se recomienda revisar y auditar regularmente la configuración de archivos ads.txt para detectar cualquier modificación no autorizada. Después de la actualización, confirme que la funcionalidad de CSRF está bloqueada intentando realizar una solicitud maliciosa a través de una herramienta como Burp Suite o OWASP ZAP.
Actualice el plugin ads.txt Guru Connect a la última versión disponible para mitigar la vulnerabilidad de Cross-Site Request Forgery (CSRF). Verifique las actualizaciones en el repositorio de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como la validación de tokens CSRF, para reforzar la protección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49381 is a critical Cross-Site Request Forgery (CSRF) vulnerability affecting ads.txt Guru Connect versions 0.0.0–1.1.1, allowing attackers to forge requests and potentially modify ad settings.
You are affected if you are using ads.txt Guru Connect versions 0.0.0 through 1.1.1. Upgrade to version 1.1.2 to mitigate the vulnerability.
The recommended fix is to upgrade to version 1.1.2 of ads.txt Guru Connect. As a temporary workaround, implement CSRF tokens and consider a Content Security Policy (CSP).
Currently, no public Proof-of-Concept (POC) exploits are known, and the vulnerability is not listed on KEV or EPSS, suggesting a low to medium probability of active exploitation.
Refer to the ads.txt Guru Connect official website or security advisory channels for the latest information and updates regarding CVE-2025-49381.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.