Plataforma
wordpress
Componente
codeflavors-vimeo-video-post-lite
Corregido en
2.3.6
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Vimeotheque de codeflavors. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado sin su conocimiento. Afecta a las versiones desde 0.0.0 hasta la 2.3.5.2 inclusive. La actualización a la versión 2.3.6 resuelve este problema.
Un atacante puede explotar esta vulnerabilidad para realizar acciones como modificar la configuración del plugin, eliminar videos o incluso comprometer la cuenta del usuario. El ataque CSRF se basa en engañar al usuario para que realice una acción no deseada al visitar una página maliciosa o al hacer clic en un enlace manipulado. La falta de protección CSRF adecuada en Vimeotheque facilita este tipo de ataques, permitiendo al atacante ejecutar comandos arbitrarios en el contexto del usuario autenticado. Esto podría resultar en la pérdida de datos, la modificación de contenido o el control total de la cuenta.
La vulnerabilidad fue publicada el 24 de diciembre de 2025. No se han reportado campañas de explotación activas en este momento. No se ha añadido a KEV. Se recomienda monitorear la situación y aplicar la actualización lo antes posible para evitar posibles ataques.
Websites utilizing the Vimeotheque WordPress plugin, particularly those with user accounts and video content, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable until the plugin is updated across all instances.
• wordpress / composer / npm:
grep -r 'vimeotheque/vimeotheque.php' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep Vimeotheque• wordpress / composer / npm:
wp plugin update --alldisclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Vimeotheque a la versión 2.3.6 o superior. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Estas medidas incluyen la verificación manual de todas las solicitudes que modifican datos críticos y la implementación de un sistema de doble autenticación (2FA) para las cuentas de usuario. Además, se pueden utilizar extensiones de navegador que protegen contra ataques CSRF. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del plugin en busca de intentos de ataque CSRF.
Actualizar a la versión 2.3.6 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68584 describe una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Vimeotheque, permitiendo a atacantes realizar acciones no autorizadas en nombre de usuarios autenticados.
Si está utilizando Vimeotheque en versiones desde 0.0.0 hasta 2.3.5.2 inclusive, es vulnerable. Actualice a la versión 2.3.6 para solucionar el problema.
La solución es actualizar Vimeotheque a la versión 2.3.6 o superior. Si no puede actualizar, implemente medidas de seguridad adicionales como 2FA y verificación manual de solicitudes.
Actualmente no se han reportado campañas de explotación activas, pero se recomienda aplicar la actualización lo antes posible para prevenir futuros ataques.
Consulte el sitio web de codeflavors o el repositorio del plugin en WordPress para obtener la información oficial y las notas de la versión de la actualización.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.