Plataforma
wordpress
Componente
wp-gdpr-cookie-consent
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WP GDPR Cookie Consent, permitiendo la ejecución de XSS almacenado. Esta falla afecta a las versiones desde 1.0.0 hasta 1.0.0 inclusive. La actualización a la versión 1.0.1 resuelve esta vulnerabilidad, fortaleciendo la seguridad de las cookies y la privacidad de los usuarios.
La vulnerabilidad CSRF en WP GDPR Cookie Consent permite a un atacante, mediante la manipulación de solicitudes HTTP, ejecutar código JavaScript malicioso en el navegador de un usuario autenticado. Esto se traduce en XSS almacenado, donde el código malicioso se guarda en la base de datos y se ejecuta cada vez que un usuario visita la página afectada. Un atacante podría robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso tomar control de la cuenta del usuario, comprometiendo la información personal y la configuración del sitio web. La ejecución de XSS puede llevar a la manipulación de la configuración de consentimiento de cookies, comprometiendo el cumplimiento del RGPD.
Esta vulnerabilidad fue publicada el 6 de noviembre de 2025. No se ha reportado explotación activa en campañas conocidas. La vulnerabilidad se encuentra en el catálogo KEV de CISA, indicando una probabilidad de explotación moderada. Se recomienda monitorear la actividad del sitio web y aplicar las medidas de mitigación lo antes posible.
Websites using the WP GDPR Cookie Consent plugin, particularly those running older versions (1.0.0 and earlier), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a vulnerability in one site could potentially impact others. Sites relying on the plugin for GDPR compliance are especially vulnerable, as a successful attack could compromise user data and violate privacy regulations.
• wordpress / composer / npm:
grep -r "wp_gdpr_cookie_consent" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=all | grep wp-gdpr-cookie-consent• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-gdpr-cookie-consent/ | grep -i '1.0.0'disclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin WP GDPR Cookie Consent a la versión 1.0.1 o superior, donde se ha corregido la vulnerabilidad CSRF. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se recomienda implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes CSRF sospechosas, buscando patrones de referencia (Referer) inusuales o solicitudes POST con parámetros inesperados. Además, revise la configuración del plugin para asegurar que las opciones de seguridad estén habilitadas.
Actualice el plugin WP GDPR Cookie Consent a la última versión disponible para mitigar la vulnerabilidad de Cross-Site Request Forgery (CSRF). Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Implemente medidas de seguridad adicionales, como la validación de entrada y la codificación de salida, para proteger contra futuros ataques CSRF.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-53316 is a Cross-Site Request Forgery (CSRF) vulnerability in the WP GDPR Cookie Consent plugin that allows for Stored XSS attacks, potentially compromising user data and website security.
You are affected if you are using WP GDPR Cookie Consent version 1.0.0 or earlier. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade the WP GDPR Cookie Consent plugin to version 1.0.1 or later. Implement WAF rules as a temporary workaround if upgrading is not immediately possible.
While no active exploitation has been confirmed, the CSRF/XSS combination is a well-known attack pattern, and exploitation is possible.
Refer to the official WP GDPR Cookie Consent plugin documentation and website for the latest advisory and security updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.