Plataforma
wordpress
Componente
thesis-openhook
Corregido en
4.3.2
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin OpenHook para WordPress. Esta vulnerabilidad permite a un atacante, aprovechando una sesión de usuario autenticado, ejecutar acciones no autorizadas sin el consentimiento del usuario. Afecta a las versiones de OpenHook desde 0.0.0 hasta la 4.3.1. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación para proteger contra ataques CSRF.
La vulnerabilidad CSRF en OpenHook permite a un atacante engañar a un usuario autenticado para que realice acciones no deseadas, como modificar la configuración del plugin, eliminar datos o incluso ejecutar código malicioso si el plugin tiene funcionalidades de administración. Un atacante podría, por ejemplo, modificar las opciones de configuración de OpenHook para redirigir a los usuarios a sitios web maliciosos o para inyectar código JavaScript en las páginas web. El impacto potencial es significativo, especialmente si el plugin se utiliza para gestionar información sensible o para controlar funcionalidades críticas del sitio web.
Actualmente, no se han reportado casos de explotación activa de esta vulnerabilidad. La publicación del CVE se realizó el 31 de diciembre de 2025. No se ha identificado un Proof of Concept (PoC) público. La probabilidad de explotación se considera baja, pero es importante aplicar las mitigaciones recomendadas para reducir el riesgo.
Websites using the OpenHook WordPress plugin, particularly those with users who have administrative or editor roles, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may also be vulnerable if updates are not applied promptly.
• wordpress / composer / npm:
grep -r 'openhook_save_options' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=openhook_save_options | grep -i 'referer:'disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar OpenHook a la última versión disponible, que debería incluir una corrección para esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de protección contra CSRF, como la validación de tokens CSRF en todas las solicitudes que modifican el estado de la aplicación. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que no incluyan tokens CSRF válidos. Es crucial revisar y endurecer la configuración de OpenHook para minimizar la superficie de ataque.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62120 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin OpenHook para WordPress que permite a atacantes realizar acciones no autorizadas en nombre de usuarios autenticados.
Si está utilizando OpenHook para WordPress en versiones desde 0.0.0 hasta la 4.3.1, es vulnerable a esta vulnerabilidad. Actualice a la última versión para mitigar el riesgo.
La solución principal es actualizar OpenHook a la última versión disponible. Si la actualización no es posible, implemente medidas de protección contra CSRF, como la validación de tokens.
Hasta la fecha, no se han reportado casos de explotación activa de esta vulnerabilidad, pero se recomienda aplicar las mitigaciones para reducir el riesgo.
Consulte el sitio web oficial de OpenHook o el repositorio de WordPress para obtener la información más reciente y las actualizaciones de seguridad relacionadas con CVE-2025-62120.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.