Plataforma
wordpress
Componente
heateor-social-login
Corregido en
1.1.40
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Heateor Social Login. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado sin su conocimiento. Afecta a las versiones del plugin desde la versión n/a hasta la 1.1.39. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación para proteger su sitio web.
La vulnerabilidad CSRF en Heateor Social Login permite a un atacante engañar a un usuario autenticado para que realice acciones no deseadas, como cambiar la configuración de la cuenta, agregar o eliminar redes sociales conectadas, o incluso realizar acciones administrativas si el usuario tiene privilegios elevados. Un atacante podría, por ejemplo, crear un formulario malicioso en un sitio web externo que, al ser visitado por un usuario autenticado en Heateor Social Login, enviaría una solicitud al sitio web vulnerable, ejecutando la acción deseada por el atacante. La explotación exitosa de esta vulnerabilidad podría comprometer la integridad de la cuenta del usuario y la seguridad del sitio web.
La vulnerabilidad CVE-2025-68998 fue publicada el 30 de diciembre de 2025. No se ha reportado explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. Se recomienda monitorear la situación y aplicar las medidas de mitigación lo antes posible.
WordPress websites utilizing the Heateor Social Login plugin, particularly those with a large user base or that handle sensitive user data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'heateor-social-login' /var/www/html/wp-content/plugins/
wp plugin list | grep heateor-social-login• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/heateor-social-login/ | grep -i 'heateor-social-login'disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Heateor Social Login a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la validación de tokens CSRF en todas las solicitudes críticas. Además, se aconseja implementar una política de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts, reduciendo así el riesgo de ataques CSRF. Verifique después de la actualización que las solicitudes críticas requieran autenticación y validación de tokens CSRF.
No se conoce ninguna solución disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68998 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Heateor Social Login que permite a atacantes realizar acciones no autorizadas en nombre de usuarios autenticados.
Si está utilizando Heateor Social Login en versiones desde n/a hasta 1.1.39, es vulnerable a esta vulnerabilidad. Verifique su versión actual del plugin.
La solución es actualizar el plugin Heateor Social Login a la última versión disponible. Si no puede actualizar, implemente medidas de mitigación como la validación de tokens CSRF.
Hasta la fecha, no se ha reportado explotación activa de esta vulnerabilidad en campañas conocidas, pero se recomienda aplicar las medidas de mitigación.
Consulte el sitio web oficial de Heateor o su repositorio de GitHub para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.