Plataforma
wordpress
Componente
gsheetconnector-gravity-forms
Corregido en
1.3.24
La vulnerabilidad CVE-2025-8606 afecta al plugin GSheetConnector para Gravity Forms en WordPress, específicamente en versiones desde 1.0.0 hasta 1.3.23. Esta falla de seguridad, de tipo Cross-Site Request Forgery (CSRF), permite a un atacante engañar a administradores autenticados para que realicen acciones no deseadas, como activar o desactivar plugins. La vulnerabilidad fue publicada el 11 de octubre de 2025 y se soluciona con la actualización a la versión 1.3.24.
Un atacante puede explotar esta vulnerabilidad enviando una solicitud forjada a un administrador autenticado de WordPress. Esta solicitud podría, por ejemplo, activar un plugin malicioso o desactivar plugins esenciales para el funcionamiento del sitio. El impacto principal es la pérdida de control sobre la configuración del sitio, pudiendo comprometer la seguridad de los datos almacenados y la integridad de la aplicación. Aunque la severidad es baja según el CVSS, la facilidad de explotación y el potencial impacto en la disponibilidad del sitio hacen que sea importante abordar esta vulnerabilidad.
La vulnerabilidad CVE-2025-8606 no se encuentra en el KEV de CISA ni se ha reportado explotación activa en campañas conocidas. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias.
WordPress websites utilizing the GSheetConnector for Gravity Forms plugin, particularly those with administrators who frequently manage plugins or visit external links. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a compromised account on one site could potentially affect others.
• wordpress / composer / npm:
grep -r 'activate_plugin|deactivate_plugin' /var/www/html/wp-content/plugins/gsheetconnector-for-gravity-forms/• wordpress / composer / npm:
wp plugin list --status=active | grep gsheetconnector• wordpress / composer / npm:
wp plugin update gsheetconnector-for-gravity-formsdisclosure
Estado del Exploit
EPSS
0.01% (3% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin GSheetConnector para Gravity Forms a la versión 1.3.24 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas medidas pueden incluir la restricción del acceso a las funciones de activación y desactivación de plugins, o la implementación de un Web Application Firewall (WAF) que filtre solicitudes CSRF. Además, se recomienda revisar los logs del servidor en busca de actividad sospechosa.
Actualice el plugin GSheetConnector for Gravity Forms a la versión 1.3.24 o superior para mitigar la vulnerabilidad de Cross-Site Request Forgery. Esta actualización corrige la falta de validación de nonce en las funciones de activación y desactivación de plugins, previniendo que atacantes puedan manipular estas acciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-8606 is a Cross-Site Request Forgery (CSRF) vulnerability affecting GSheetConnector for Gravity Forms versions 1.0.0–1.3.23, allowing attackers to perform actions as an administrator.
You are affected if you are using GSheetConnector for Gravity Forms version 1.0.0 through 1.3.23. Upgrade to 1.3.24 or later to mitigate the risk.
Upgrade the GSheetConnector for Gravity Forms plugin to version 1.3.24 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
There is no confirmed active exploitation of CVE-2025-8606 at this time, but the ease of CSRF attacks warrants caution.
Refer to the official GSheetConnector for Gravity Forms plugin documentation or their website for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.