Plataforma
wordpress
Componente
wp_attractivedonationssystem
Corregido en
1.25.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WP Attractive Donations System - Easy Stripe & Paypal donations. Esta vulnerabilidad permite a un atacante realizar acciones en nombre de un usuario autenticado sin su conocimiento. Afecta a las versiones desde 1.0.0 hasta la 1.25 inclusive. La solución recomendada es actualizar el plugin a la última versión disponible.
Un atacante podría explotar esta vulnerabilidad para realizar acciones no autorizadas en la cuenta de un usuario autenticado, como modificar la configuración del plugin, cambiar las claves de API de Stripe o PayPal, o incluso realizar donaciones fraudulentas. El impacto potencial es significativo, ya que podría resultar en pérdidas financieras para los usuarios y daños a la reputación del sitio web. La explotación exitosa requiere que el usuario haya iniciado sesión en el sitio web y que el atacante pueda engañar al usuario para que visite una URL maliciosa.
Esta vulnerabilidad fue publicada el 16 de diciembre de 2025. No se han reportado casos de explotación activa en la naturaleza, ni existen pruebas públicas de concepto (PoC) disponibles. La vulnerabilidad ha sido catalogada con una severidad de MEDIUM según el CVSS. No se ha añadido a la lista KEV de CISA.
Websites utilizing the WP Attractive Donations System plugin, particularly those with publicly accessible donation forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially impact others.
• wordpress / composer / npm:
grep -r 'wp_attractive_donations_system' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp_attractive_donations_system• wordpress / composer / npm:
wp plugin list --status=active | grep wp_attractive_donations_systemdisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WP Attractive Donations System a la última versión disponible, que debería incluir la corrección para esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de protección CSRF, como la adición de tokens CSRF a todos los formularios y solicitudes sensibles. Además, se puede configurar el servidor web para que requiera la verificación de Referer para las solicitudes que modifican la configuración del plugin. Verifique después de la actualización que los formularios del plugin incluyan tokens CSRF válidos.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-58999 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) que afecta al plugin WP Attractive Donations System, permitiendo a atacantes realizar acciones no autorizadas.
Si está utilizando el plugin WP Attractive Donations System en las versiones 1.0.0 hasta la 1.25 inclusive, es vulnerable a esta vulnerabilidad.
La solución recomendada es actualizar el plugin a la última versión disponible. Si no es posible, implemente medidas de protección CSRF.
Hasta el momento, no se han reportado casos de explotación activa ni existen pruebas públicas de concepto disponibles.
Consulte el sitio web del desarrollador del plugin o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.