Plataforma
wordpress
Componente
feather-login-page
Corregido en
1.1.8
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin PluginOps Feather Login Page. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado sin su conocimiento. La vulnerabilidad afecta a versiones del plugin desde la versión n/a hasta la 1.1.7. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación para proteger sus sistemas.
Un atacante podría explotar esta vulnerabilidad para realizar acciones como cambiar la contraseña de un usuario, modificar la configuración del plugin o incluso ejecutar código malicioso si el plugin tiene funcionalidades que permiten la ejecución de código. El riesgo es particularmente alto en entornos donde los usuarios tienen privilegios administrativos, ya que un atacante podría obtener control total sobre el sitio web. La explotación exitosa de esta vulnerabilidad podría resultar en la pérdida de datos, la interrupción del servicio o el compromiso de la integridad del sitio web.
La vulnerabilidad fue publicada el 22 de diciembre de 2025. No se han reportado campañas de explotación activas conocidas públicamente. No se ha añadido a la lista KEV de CISA. La existencia de una vulnerabilidad CSRF, aunque de severidad media, requiere atención inmediata debido a su relativa facilidad de explotación y el potencial impacto en la seguridad del sitio web.
Websites using the PluginOps Feather Login Page plugin, particularly those with shared hosting environments or those that haven't implemented robust security practices, are at risk. Administrators who frequently use the plugin and are susceptible to phishing attacks are also a high-risk group.
• wordpress / plugin:
wp plugin list --status=inactive | grep feather-login-page• wordpress / plugin: Check plugin version in WordPress admin dashboard. • wordpress / plugin: Review WordPress access logs for suspicious requests originating from external sources targeting the plugin’s admin endpoints. • wordpress / plugin: Examine the plugin’s codebase for any missing or inadequate CSRF tokens.
disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin PluginOps Feather Login Page a la última versión disponible, que debería corregir esta vulnerabilidad. Si la actualización no es inmediatamente posible, se pueden implementar medidas de mitigación temporales, como la implementación de tokens CSRF en las solicitudes críticas. Además, se recomienda revisar y fortalecer las políticas de seguridad del sitio web, incluyendo la implementación de autenticación de dos factores (2FA) para los usuarios con privilegios administrativos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor y realizando pruebas de seguridad.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62107 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin PluginOps Feather Login Page que permite a atacantes realizar acciones no autorizadas.
Si está utilizando PluginOps Feather Login Page en versiones 0 hasta 1.1.7, es vulnerable a esta vulnerabilidad.
Actualice el plugin a la última versión disponible o implemente medidas de mitigación como tokens CSRF.
No se han reportado campañas de explotación activas conocidas públicamente al momento de la publicación.
Consulte el sitio web de PluginOps o el repositorio del plugin para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.