Plataforma
wordpress
Componente
my-auctions-allegro-free-edition
Corregido en
3.6.34
La vulnerabilidad CVE-2025-68567 es una falla de Cross-Site Request Forgery (CSRF) detectada en el plugin My auctions allegro para WordPress. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado sin su conocimiento. Afecta a las versiones desde 0.0.0 hasta la 3.6.33 inclusive. La solución recomendada es actualizar el plugin a la versión 3.6.34.
Un atacante puede explotar esta vulnerabilidad para realizar acciones como modificar subastas, cambiar la configuración del plugin o incluso eliminar datos, todo ello en nombre del usuario autenticado. El impacto potencial es significativo, ya que un atacante podría comprometer la integridad de las subastas y la información asociada. La explotación exitosa de esta vulnerabilidad podría resultar en la pérdida de datos, la manipulación de subastas y la pérdida de confianza en la plataforma. Aunque no se ha reportado explotación activa, la naturaleza de CSRF hace que sea relativamente fácil de explotar, especialmente en sitios con una configuración de seguridad deficiente.
Esta vulnerabilidad fue publicada el 24 de diciembre de 2025. No se ha añadido a la lista KEV de CISA ni se ha reportado explotación activa a la fecha. La vulnerabilidad CSRF es generalmente de baja dificultad para explotar, lo que aumenta el riesgo de que sea aprovechada por atacantes. Se recomienda monitorear activamente los sistemas afectados en busca de signos de explotación.
WordPress site owners using the My auctions allegro plugin, particularly those running older versions (0.0.0–3.6.33). Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may not be promptly updated.
• wordpress / composer / npm:
grep -r 'my-auctions-allegro-free-edition' /var/www/html/
wp plugin list | grep 'My auctions allegro'• generic web:
curl -I https://example.com/my-auctions-allegro/ | grep -i 'csrf-token'disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin My auctions allegro a la versión 3.6.34 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de los tokens CSRF en todas las solicitudes sensibles. Además, es crucial educar a los usuarios sobre los riesgos de los ataques CSRF y fomentar prácticas de navegación seguras. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor en busca de intentos de explotación CSRF.
Actualizar a la versión 3.6.34, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68567 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin My auctions allegro para WordPress, que permite a atacantes realizar acciones no autorizadas.
Si utiliza el plugin My auctions allegro en versiones 0.0.0 hasta 3.6.33 inclusive, es vulnerable a esta vulnerabilidad.
Actualice el plugin My auctions allegro a la versión 3.6.34 o superior para solucionar esta vulnerabilidad.
A la fecha, no se ha reportado explotación activa, pero la naturaleza de CSRF hace que sea un riesgo potencial.
Consulte el sitio web oficial de My auctions allegro o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.