Plataforma
wordpress
Componente
ays-popup-box
Corregido en
6.0.8
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Ays Pro Popup box. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado sin su conocimiento. Afecta a las versiones desde 0.0.0 hasta la 6.0.7 inclusive. Una actualización a la versión 6.0.8 soluciona esta vulnerabilidad.
Un atacante podría explotar esta vulnerabilidad para realizar acciones en nombre de un usuario autenticado en el sitio web, como modificar la configuración del plugin, publicar contenido no deseado o incluso realizar cambios en la base de datos. El impacto potencial es significativo, ya que un atacante podría comprometer la integridad del sitio web y la información de los usuarios. La explotación exitosa de esta vulnerabilidad podría resultar en la pérdida de control del sitio web y la exposición de datos sensibles.
La vulnerabilidad fue publicada el 30 de diciembre de 2025. No se han reportado casos de explotación activa en la actualidad. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
WordPress websites using the Ays Pro Popup box plugin, particularly those running versions 0.0.0 through 6.0.7, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may not be immediately updated when a vulnerability is disclosed.
• wordpress / composer / npm:
grep -r 'ays-popup-box/ays-popup-box.php' /var/www/html/
wp plugin list | grep 'Ays Pro Popup Box'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/ays-popup-box/ays-popup-box.php | grep -i 'ays-popup-box'disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Ays Pro Popup box a la versión 6.0.8 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación de tokens CSRF en todas las solicitudes críticas. Implementar una política de seguridad de contenido (CSP) también puede ayudar a mitigar el riesgo. Revise los logs del sitio web en busca de patrones de solicitudes sospechosas que puedan indicar un intento de explotación.
Actualizar a la versión 6.0.8, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-69021 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Ays Pro Popup box que permite a atacantes realizar acciones no autorizadas.
Si está utilizando Ays Pro Popup box en versiones 0.0.0 hasta 6.0.7, es vulnerable a esta vulnerabilidad.
Actualice Ays Pro Popup box a la versión 6.0.8 o superior para solucionar la vulnerabilidad.
Actualmente no se han reportado casos de explotación activa, pero se recomienda aplicar la actualización lo antes posible.
Consulte el sitio web del desarrollador de Ays Pro Popup box o el repositorio de WordPress para obtener información oficial sobre la vulnerabilidad y la actualización.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.