Plataforma
wordpress
Componente
listify
Corregido en
3.2.6
La vulnerabilidad CVE-2025-59009 es una falla de Cross-Site Request Forgery (CSRF) identificada en el plugin Listify de Astoundify. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado sin su conocimiento. Afecta a las versiones de Listify desde 0.0.0 hasta la 3.2.5, y se recomienda actualizar a la versión 3.2.6 para solucionar el problema.
Un atacante podría explotar esta vulnerabilidad para realizar acciones como modificar la configuración del plugin Listify, crear o eliminar listas, o incluso realizar cambios en los datos asociados a las listas, todo ello en nombre del usuario autenticado. El impacto potencial es significativo, ya que podría comprometer la integridad de los datos y la funcionalidad del sitio web. La explotación exitosa de esta vulnerabilidad podría resultar en la pérdida de datos, la alteración de la configuración del sitio web y la posible toma de control del mismo.
La vulnerabilidad fue publicada el 16 de diciembre de 2025. No se han reportado activamente campañas de explotación en curso, pero la naturaleza de las vulnerabilidades CSRF las hace susceptibles a ataques automatizados. Es importante aplicar las mitigaciones lo antes posible para reducir el riesgo de explotación. No se ha añadido a KEV.
Websites utilizing Astoundify Listify, particularly those running older versions (0.0.0–3.2.5), are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially vulnerable, as a compromise on one site could impact others. Users who frequently interact with Listify and are susceptible to phishing attacks are also at increased risk.
• wordpress / composer / npm:
grep -r 'Astoundify Listify' /var/www/html/
wp plugin list• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/listify/disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Listify a la versión 3.2.6 o superior, donde se ha solucionado el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de las entradas del usuario y la implementación de tokens CSRF en las solicitudes críticas. Además, se pueden utilizar firewalls de aplicaciones web (WAF) para detectar y bloquear intentos de explotación de la vulnerabilidad. Después de la actualización, verifique que las solicitudes críticas requieran tokens CSRF.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59009 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Listify de Astoundify, que permite a atacantes realizar acciones no autorizadas en nombre de usuarios autenticados.
Si está utilizando Listify en versiones 0.0.0 hasta 3.2.5, sí, está afectado. Actualice a la versión 3.2.6 para solucionar la vulnerabilidad.
La solución es actualizar el plugin Listify a la versión 3.2.6 o superior a través del panel de administración de WordPress.
Aunque no se han reportado campañas activas, la naturaleza de CSRF la hace susceptible a ataques automatizados. Es importante aplicar la actualización lo antes posible.
Consulte el sitio web de Astoundify o el repositorio del plugin Listify en WordPress.org para obtener información oficial sobre la vulnerabilidad y la actualización.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.