Plataforma
wordpress
Componente
pardakht-delkhah
Corregido en
3.0.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Pardakht Delkhah. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado sin su conocimiento. La vulnerabilidad afecta a las versiones de Pardakht Delkhah desde n/a hasta la 3.0.0. Se recomienda actualizar el plugin a la última versión disponible o implementar medidas de mitigación para protegerse contra este riesgo.
Un atacante puede explotar esta vulnerabilidad para realizar acciones maliciosas en un sitio web que utiliza Pardakht Delkhah, como modificar datos de usuario, realizar transacciones no autorizadas o incluso tomar el control completo del sitio. El impacto potencial es significativo, especialmente si el sitio web maneja información sensible o realiza transacciones financieras. La explotación exitosa requiere que el usuario esté autenticado en el sitio web y que el atacante pueda engañar al usuario para que visite una URL maliciosa. Esta vulnerabilidad se asemeja a otros ataques CSRF que han afectado a diversas aplicaciones web, permitiendo la manipulación de solicitudes del lado del cliente.
La vulnerabilidad fue publicada el 31 de diciembre de 2025. No se ha reportado su inclusión en el KEV de CISA. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad CSRF la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas para detectar posibles ataques.
WordPress websites using the Pardakht Delkhah plugin, particularly those running versions 0 through 3.0.0, are at risk. Shared hosting environments are especially vulnerable, as attackers can potentially compromise multiple websites hosted on the same server. Administrators who haven't implemented robust security practices, such as regular plugin updates and strong password policies, are also at increased risk.
• wordpress / composer / npm:
grep -r 'omidshamloo/pardakht-delkhah' /var/www/html/wp-content/plugins/
wp plugin list | grep pardakht-delkhah• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=some_pardakht_delkhah_function&some_parameter=value | grep -i 'csrf token'disclosure
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Pardakht Delkhah a una versión corregida, tan pronto como esté disponible. Si la actualización no es posible de inmediato, se pueden implementar medidas de mitigación temporales. Implementar tokens CSRF en todas las solicitudes sensibles puede ayudar a prevenir ataques. Además, se recomienda educar a los usuarios sobre los riesgos de hacer clic en enlaces sospechosos o visitar sitios web no confiables. Se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que puedan indicar un ataque CSRF. Verifique después de la actualización que las solicitudes sensibles requieran la presencia de tokens CSRF válidos.
No se conoce ningún parche disponible. Revise a fondo los detalles de la vulnerabilidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62101 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Pardakht Delkhah que permite a atacantes realizar acciones no autorizadas.
Si está utilizando Pardakht Delkhah en versiones desde n/a hasta la 3.0.0, es vulnerable a esta vulnerabilidad.
Actualice Pardakht Delkhah a la última versión disponible o implemente medidas de mitigación como tokens CSRF.
Aunque no se han reportado explotaciones activas, la naturaleza de la vulnerabilidad CSRF la hace susceptible a ataques.
Consulte el sitio web oficial de Pardakht Delkhah o los canales de comunicación del plugin para obtener información sobre la vulnerabilidad y las actualizaciones.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.