Plataforma
wordpress
Componente
wp-email-capture
Corregido en
3.12.6
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WP Email Capture para WordPress. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 3.12.5. Una actualización a la versión 3.12.6 soluciona este problema.
Un atacante puede explotar esta vulnerabilidad para realizar acciones no autorizadas en un sitio WordPress que utilice WP Email Capture. Esto podría incluir la modificación de la configuración del plugin, la creación de nuevas suscripciones de correo electrónico o la eliminación de suscripciones existentes. El impacto potencial es la manipulación de datos y la posible toma de control del plugin, comprometiendo la integridad del sitio web. Un atacante podría, por ejemplo, modificar la lista de correo electrónico para incluir destinatarios maliciosos o redirigir el tráfico a un sitio web controlado por el atacante.
La vulnerabilidad fue publicada el 24 de diciembre de 2025. No se han reportado casos de explotación activa en el mundo real a la fecha. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Websites using the WP Email Capture plugin, particularly those with user accounts that have administrative privileges or access to sensitive data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r 'wp_email_capture_process_form' /var/www/html/wp-content/plugins/wp-email-capture/• wordpress / composer / npm:
wp plugin list --status=active | grep wp-email-capture• wordpress / composer / npm:
wp plugin update wp-email-capture --version=3.12.6disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin WP Email Capture a la versión 3.12.6 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la adición de tokens CSRF a todas las solicitudes críticas. Utilice un plugin de seguridad de WordPress que ofrezca protección CSRF. Revise los registros del sitio web en busca de actividad sospechosa relacionada con el plugin.
Actualizar a la versión 3.12.6, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68529 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WP Email Capture para WordPress que permite a los atacantes realizar acciones no autorizadas.
Sí, si está utilizando WP Email Capture en versiones desde 0.0.0 hasta 3.12.5, es vulnerable a esta vulnerabilidad.
Actualice el plugin WP Email Capture a la versión 3.12.6 o superior. Implemente medidas de seguridad adicionales como tokens CSRF.
Hasta la fecha, no se han reportado casos de explotación activa, pero se recomienda aplicar la actualización lo antes posible.
Consulte el sitio web oficial de WP Email Capture o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.