Plataforma
wordpress
Componente
post-snippets
Corregido en
4.0.12
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Post Snippets para WordPress. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado, como la modificación de contenido o la configuración del plugin. Afecta a las versiones desde 0.0.0 hasta la 4.0.11, y se recomienda actualizar a la versión 4.0.12 para solucionar el problema.
La vulnerabilidad CSRF en Post Snippets permite a un atacante, mediante la creación de una solicitud maliciosa, engañar a un usuario autenticado para que realice acciones sin su conocimiento o consentimiento. Esto podría resultar en la modificación no autorizada de fragmentos de publicaciones, la alteración de la configuración del plugin, o incluso la inserción de código malicioso en el sitio web. Un atacante podría, por ejemplo, modificar el contenido de las publicaciones para incluir enlaces maliciosos o scripts que comprometan la seguridad del sitio.
Esta vulnerabilidad fue publicada el 31 de diciembre de 2025. No se han reportado activamente campañas de explotación dirigidas a esta vulnerabilidad, pero la naturaleza de CSRF la hace relativamente fácil de explotar. Se recomienda monitorear los registros del servidor y las alertas de seguridad en busca de actividad sospechosa.
Websites using the Post Snippets plugin, particularly those running older versions (0.0.0–4.0.11), are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable if they haven't been updated to the latest version.
• wordpress / composer / npm:
grep -r 'post-snippets/includes/class-post-snippets.php' . |
grep -i 'wp_send_json'• generic web:
curl -I https://example.com/wp-content/plugins/post-snippets/includes/class-post-snippets.php | grep -i 'server'disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Post Snippets a la versión 4.0.12 o superior, donde se ha solucionado el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación de tokens CSRF en todas las solicitudes críticas. Además, se puede considerar el uso de un Web Application Firewall (WAF) para bloquear solicitudes sospechosas. Verifique que la configuración de WordPress tenga habilitada la protección CSRF por defecto.
Actualizar a la versión 4.0.12, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-63040 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Post Snippets para WordPress que permite a atacantes realizar acciones no autorizadas.
Sí, si está utilizando Post Snippets en las versiones desde 0.0.0 hasta la 4.0.11, es vulnerable a esta vulnerabilidad.
Actualice el plugin Post Snippets a la versión 4.0.12 o superior para solucionar la vulnerabilidad.
Aunque no se han reportado activamente campañas de explotación, la naturaleza de CSRF la hace susceptible a ataques, por lo que se recomienda tomar medidas preventivas.
Consulte el sitio web del desarrollador de Post Snippets o el repositorio oficial del plugin en WordPress.org para obtener la información más reciente.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.