Plataforma
wordpress
Componente
mow
Corregido en
4.10.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el tema Mow de Frenify. Esta falla permite la inyección de código, lo que podría resultar en la ejecución de código malicioso en el contexto del usuario autenticado. La vulnerabilidad afecta a las versiones de Mow desde 0.0.0 hasta la 4.10, inclusive. Una actualización a la versión 4.10.1 resuelve este problema.
La vulnerabilidad CSRF en Mow permite a un atacante engañar a un usuario autenticado para que realice acciones no deseadas en el sitio web. Esto podría incluir la modificación de la configuración del sitio, la creación de nuevos usuarios con privilegios elevados o la eliminación de contenido. La inyección de código amplía significativamente el impacto, permitiendo la ejecución de código arbitrario en el servidor, comprometiendo la integridad y confidencialidad de los datos. Un atacante podría explotar esta vulnerabilidad para obtener acceso completo al sitio web y a la base de datos asociada.
La vulnerabilidad ha sido publicada el 9 de septiembre de 2025. No se han reportado campañas de explotación activas a la fecha. No se ha añadido a KEV. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Websites utilizing the Frenify Mow theme, particularly those with administrative users who frequently interact with the theme's settings, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'frenify_mow_options' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep mow• wordpress / composer / npm:
wp plugin update mowdisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el tema Mow a la versión 4.10.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se recomienda implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes CSRF. Estas reglas deben validar el token CSRF en cada solicitud. Además, revise los permisos de usuario y asegúrese de que solo los usuarios autorizados tengan acceso a funciones críticas.
Actualice el tema Mow a la última versión disponible para mitigar la vulnerabilidad de Cross-Site Request Forgery (CSRF). Verifique la página del tema en wordpress.org para obtener la actualización más reciente. Implemente medidas de seguridad adicionales, como la validación de tokens CSRF, para proteger aún más su sitio web.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-58997 is a critical Cross-Site Request Forgery (CSRF) vulnerability in the Frenify Mow WordPress theme, allowing attackers to inject code via crafted requests.
You are affected if you are using Frenify Mow theme versions 0.0.0 through 4.10. Check your WordPress plugin list to confirm your version.
Upgrade the Frenify Mow theme to version 4.10.1 or later. Implement a Content Security Policy (CSP) as an additional layer of defense.
There is currently no indication of active exploitation campaigns, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the Frenify Mow theme's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.