Plataforma
wordpress
Componente
traderunner
Corregido en
3.14.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Trade Runner, afectando versiones desde 0.0.0 hasta la 3.14. Esta vulnerabilidad permite a un atacante engañar a un usuario autenticado para que ejecute acciones no deseadas en la aplicación. La publicación de esta vulnerabilidad se realizó el 24 de diciembre de 2025, y se recomienda aplicar las medidas de mitigación o actualizar a una versión corregida lo antes posible.
La vulnerabilidad CSRF en Trade Runner permite a un atacante, mediante la manipulación de solicitudes HTTP, ejecutar acciones en nombre de un usuario autenticado sin su conocimiento. Esto podría incluir la modificación de datos, la creación de nuevas cuentas o la realización de transacciones no autorizadas. El impacto potencial es significativo, ya que un atacante podría comprometer la integridad de los datos y la seguridad de la aplicación. Un ataque exitoso podría resultar en la pérdida de datos sensibles o la ejecución de acciones maliciosas en el sistema.
La vulnerabilidad CVE-2025-67625 fue publicada el 24 de diciembre de 2025. No se han reportado activamente campañas de explotación a la fecha. No se ha añadido a KEV. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations and individuals utilizing Trade Runner versions 0.0.0 through 3.14 are at risk. This includes those deploying Trade Runner on shared WordPress hosting environments, as they may be more vulnerable to CSRF attacks due to limited control over server configurations. Users who frequently access Trade Runner through untrusted links or websites are also at increased risk.
• wordpress / composer / npm:
grep -r "/wp-admin/admin-ajax.php" ./• generic web:
curl -I https://your-trade-runner-site.com/wp-admin/admin-ajax.php | grep -i 'content-security-policy'disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
Para mitigar la vulnerabilidad CSRF en Trade Runner, se recomienda actualizar a una versión corregida tan pronto como esté disponible. Si la actualización no es posible de inmediato, se pueden implementar medidas de mitigación temporales, como la implementación de tokens CSRF en todas las solicitudes sensibles. Además, es crucial educar a los usuarios sobre los riesgos de los ataques CSRF y fomentar prácticas de navegación seguras. Verifique la integridad de las solicitudes y considere el uso de encabezados HTTP como X-CSRF-Token para validar la autenticidad de las peticiones.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-67625 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Trade Runner que permite a atacantes realizar acciones no autorizadas en nombre de usuarios autenticados.
Sí, si está utilizando Trade Runner en versiones desde 0.0.0 hasta 3.14, es vulnerable a esta vulnerabilidad CSRF.
La solución recomendada es actualizar Trade Runner a una versión corregida. Si no es posible, implemente medidas de mitigación como tokens CSRF.
A la fecha, no se han reportado activamente campañas de explotación, pero se recomienda monitorear la situación.
Consulte la documentación oficial de Trade Runner o su sitio web para obtener información sobre la vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.