Plataforma
wordpress
Componente
semrush-contentshake
Corregido en
1.1.33
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Semrush Content Toolkit, afectando versiones desde 0.0.0 hasta la 1.1.32. Esta vulnerabilidad permite a un atacante ejecutar acciones no autorizadas en nombre de un usuario autenticado sin su conocimiento. La actualización a la versión 1.1.33 resuelve esta vulnerabilidad, protegiendo la integridad de los datos y la configuración del sistema.
Un atacante que explote esta vulnerabilidad CSRF puede realizar acciones no autorizadas en la cuenta de un usuario de Semrush Content Toolkit. Esto podría incluir la modificación de contenido, la alteración de configuraciones, o incluso la eliminación de datos. El impacto potencial es significativo, especialmente si el atacante puede comprometer cuentas con privilegios administrativos. La naturaleza de CSRF implica que el ataque puede ser realizado sin interacción directa del usuario, lo que dificulta su detección y prevención.
La vulnerabilidad fue publicada el 16 de diciembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace inherentemente explotable. No se ha añadido a KEV a la fecha. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Websites utilizing the Semrush Content Toolkit plugin, particularly those with users who have elevated privileges within the toolkit. Shared WordPress hosting environments are also at increased risk, as vulnerabilities in plugins can impact multiple sites.
• wordpress / composer / npm:
grep -r 'semrush-contentshake' /var/www/html/
wp plugin list | grep semrush-contentshake• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/semrush-contentshake/ | grep Content-Security-Policydisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Semrush Content Toolkit a la versión 1.1.33 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de los tokens CSRF en todas las solicitudes sensibles. Además, se aconseja revisar las configuraciones de seguridad del plugin y limitar los privilegios de los usuarios para reducir el impacto potencial de un ataque exitoso. Después de la actualización, confirme la mitigación revisando los logs del plugin en busca de intentos de solicitudes CSRF.
Actualizar a la versión 1.1.33 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68082 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Semrush Content Toolkit que permite a atacantes realizar acciones no autorizadas.
Sí, si está utilizando Semrush Content Toolkit en versiones desde 0.0.0 hasta 1.1.32, es vulnerable a esta vulnerabilidad.
Actualice Semrush Content Toolkit a la versión 1.1.33 o superior para solucionar la vulnerabilidad.
No se ha reportado explotación activa a la fecha, pero la naturaleza de CSRF la hace inherentemente explotable.
Consulte el sitio web oficial de Semrush para obtener información sobre la vulnerabilidad y la actualización: [https://www.semrush.com/](https://www.semrush.com/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.