Plataforma
wordpress
Componente
robotstxt-rewrite
Corregido en
1.6.2
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Robots.txt rewrite de Eugen Bobrowski. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en un sitio web WordPress, modificando la configuración del archivo robots.txt. Afecta a las versiones desde 0.0.0 hasta la 1.6.1, y se recomienda actualizar a la versión 1.6.2 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para manipular el archivo robots.txt, lo que puede tener consecuencias significativas para un sitio web. Al modificar este archivo, un atacante puede impedir que los motores de búsqueda indexen ciertas páginas, afectando negativamente al SEO del sitio. Además, se podría utilizar para exponer áreas sensibles del sitio web que deberían estar protegidas. La manipulación del robots.txt puede también ser utilizada para redirigir a los usuarios a sitios maliciosos, o para ocultar contenido no deseado.
La vulnerabilidad fue publicada el 31 de diciembre de 2025. No se han reportado campañas de explotación activas en este momento. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar las actualizaciones o mitigaciones necesarias lo antes posible.
Websites using the Robots.txt rewrite plugin, particularly those relying on search engine optimization (SEO) and those with sensitive data that could be exposed through misconfigured robots.txt directives, are at risk. Shared WordPress hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r 'robots.txt' /var/www/html/wp-content/plugins/robots-txt-rewrite/
wp plugin list | grep robots-txt-rewrite• generic web:
curl -I https://example.com/robots.txt | grep -i 'allow:'disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Robots.txt rewrite a la versión 1.6.2 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se pueden implementar medidas de mitigación temporales. Estas incluyen la implementación de políticas de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts, y la validación de todas las solicitudes entrantes para asegurarse de que provienen de fuentes confiables. Además, se recomienda implementar un Web Application Firewall (WAF) para filtrar el tráfico malicioso.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62148 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Robots.txt rewrite para WordPress, permitiendo a atacantes modificar la configuración del robots.txt.
Si está utilizando el plugin Robots.txt rewrite en versiones desde 0.0.0 hasta 1.6.1, es vulnerable. Actualice a la versión 1.6.2 o aplique mitigaciones.
La solución es actualizar el plugin Robots.txt rewrite a la versión 1.6.2 o superior. Si no es posible, aplique mitigaciones temporales como CSP y WAF.
Hasta el momento, no se han reportado campañas de explotación activas, pero se recomienda monitorear la situación.
Consulte el repositorio oficial del plugin Robots.txt rewrite en WordPress.org para obtener información y actualizaciones.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.