Plataforma
wordpress
Componente
advanced-classifieds-and-directory-pro
Corregido en
3.2.10
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Advanced Classifieds & Directory Pro de pluginsware. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado, comprometiendo la integridad de los datos. Afecta a las versiones desde 0.0.0 hasta la 3.2.9, y se recomienda actualizar a la versión 3.3.0 para solucionar el problema.
La vulnerabilidad CSRF en Advanced Classifieds & Directory Pro permite a un atacante, mediante la creación de solicitudes maliciosas, ejecutar acciones en el sitio web como si fuera un usuario legítimo. Esto podría incluir la modificación de clasificados, la creación de nuevas categorías, o incluso la alteración de la configuración del plugin. Un atacante podría engañar a un usuario para que haga clic en un enlace malicioso o visite una página web comprometida, lo que resultaría en la ejecución de la solicitud CSRF. La severidad de este impacto depende de los permisos del usuario afectado y de la sensibilidad de los datos almacenados en el sitio web.
La vulnerabilidad CVE-2025-68580 fue publicada el 24 de diciembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. Sin embargo, la naturaleza de las vulnerabilidades CSRF las hace susceptibles a ataques automatizados y a la inclusión en herramientas de pentesting. Se recomienda monitorear activamente los registros del sitio web en busca de actividad sospechosa.
Websites utilizing pluginsware Advanced Classifieds & Directory Pro versions 0.0.0 through 3.2.9 are at risk. This includes businesses and individuals relying on the plugin for classified listings or directory management. Shared hosting environments are particularly vulnerable, as attackers could potentially exploit the vulnerability across multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r 'pluginsware/advanced-classifieds-and-directory-pro' /var/www/html
wp plugin list | grep advanced-classifieds• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=some_sensitive_action | grep Content-Typedisclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Advanced Classifieds & Directory Pro a la versión 3.3.0 o superior, donde se ha solucionado el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación de tokens CSRF en todas las solicitudes críticas. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten explotar esta vulnerabilidad. Es crucial revisar y fortalecer las políticas de seguridad del sitio web para prevenir ataques CSRF.
Actualizar a la versión 3.3.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68580 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Advanced Classifieds & Directory Pro que permite a atacantes realizar acciones no autorizadas.
Sí, si está utilizando Advanced Classifieds & Directory Pro en versiones desde 0.0.0 hasta la 3.2.9, es vulnerable a esta vulnerabilidad.
Actualice Advanced Classifieds & Directory Pro a la versión 3.3.0 o superior para solucionar la vulnerabilidad.
Hasta el momento, no se han reportado exploits públicos activos, pero se recomienda monitorear activamente los registros del sitio web.
Consulte el sitio web de pluginsware o el repositorio del plugin en WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.