Plataforma
wordpress
Componente
mergado-marketing-pack
Corregido en
4.2.2
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Mergado Pack, un plugin para WordPress. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado sin su conocimiento. Afecta a las versiones desde 0.0.0 hasta la 4.2.1. Se recomienda actualizar a una versión corregida o implementar medidas de mitigación para proteger su sitio web.
La vulnerabilidad CSRF en Mergado Pack permite a un atacante engañar a un usuario autenticado para que realice acciones no deseadas, como modificar la configuración del plugin, cambiar las opciones de marketing o incluso acceder a datos sensibles. Un atacante podría, por ejemplo, modificar la URL de destino de una campaña de marketing, redirigiendo el tráfico a un sitio malicioso. El impacto potencial es la manipulación de datos, la pérdida de control sobre el sitio web y el compromiso de la reputación.
La vulnerabilidad fue publicada el 31 de diciembre de 2025. No se han reportado casos de explotación activa en el momento de la publicación. La probabilidad de explotación se considera moderada, dado que es una vulnerabilidad CSRF y requiere que el atacante engañe al usuario para que realice una acción. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias.
WordPress sites utilizing the Mergado Pack plugin, particularly those running versions 0.0.0 through 4.2.1, are at risk. Sites with limited security controls or those that allow user-generated content are especially vulnerable, as attackers can more easily craft malicious CSRF requests.
• wordpress / composer / npm:
grep -r 'mergado-marketing-pack' /var/www/html/wp-content/plugins/
wp plugin list | grep mergado-marketing-pack• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/mergado-marketing-pack/ | grep -i 'mergado-marketing-pack'disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Mergado Pack a una versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de protección adicionales. Implementar políticas de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts. Utilizar tokens CSRF en todas las solicitudes sensibles. Considerar el uso de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas. Verifique después de la actualización que las configuraciones del plugin se mantienen intactas y que no hay actividades sospechosas en los registros del servidor.
No se conoce ninguna solución disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62089 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Mergado Pack para WordPress, que permite a atacantes realizar acciones no autorizadas.
Si está utilizando Mergado Pack en su sitio WordPress en una versión anterior a la corregida (0.0.0–4.2.1), es vulnerable a esta vulnerabilidad.
Actualice Mergado Pack a la última versión disponible, una vez que esté disponible. Mientras tanto, implemente medidas de mitigación como CSP y tokens CSRF.
No se han reportado casos de explotación activa en el momento de la publicación, pero se recomienda monitorear la situación.
Consulte el sitio web oficial de Mergado Pack o su repositorio de GitHub para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.