Plataforma
wordpress
Componente
newsletter
Corregido en
9.1.1
El plugin Newsletter para WordPress, utilizado para enviar correos electrónicos masivos, presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF). Esta falla permite a atacantes no autenticados desuscribir a los suscriptores del boletín, engañando a usuarios autenticados para que realicen acciones maliciosas. La vulnerabilidad afecta a todas las versiones del plugin desde 0.0.0 hasta la 9.1.0, y se ha solucionado en la versión 9.1.1.
Un atacante puede explotar esta vulnerabilidad CSRF para desuscribir a los suscriptores del boletín sin su consentimiento. Esto podría resultar en la pérdida de clientes potenciales, daño a la reputación y una disminución en la efectividad de las campañas de marketing. El ataque se basa en engañar a un usuario autenticado para que visite una URL maliciosa que contenga una solicitud falsificada de desuscripción. La falta de validación adecuada de tokens nonce en la función hooknewsletteraction() es la causa raíz de la vulnerabilidad. Un ataque exitoso podría afectar significativamente la base de datos de suscriptores y la capacidad de comunicación de la organización.
Esta vulnerabilidad fue publicada el 20 de enero de 2026. No se ha reportado explotación activa en campañas conocidas a la fecha. La vulnerabilidad se encuentra en el catálogo KEV de CISA con una probabilidad de explotación de baja a media, dada la necesidad de engañar a un usuario autenticado para que ejecute la solicitud maliciosa. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
WordPress sites utilizing the Newsletter plugin are at risk. Specifically, sites with a large subscriber base or those relying heavily on email marketing are more vulnerable. Shared hosting environments where plugin updates are managed by the hosting provider may also be at increased risk if updates are not applied promptly.
• wordpress / composer / npm:
grep -r 'hook_newsletter_action()' /var/www/html/wp-content/plugins/newsletter/• wordpress / composer / npm:
wp plugin list | grep newsletter• wordpress / composer / npm:
wp plugin update newsletter --all• generic web: Check WordPress plugin directory for reports of CVE-2026-1051 exploitation.
disclosure
Estado del Exploit
EPSS
0.01% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Newsletter a la versión 9.1.1 o superior, que incluye la corrección para esta vulnerabilidad CSRF. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la restricción del acceso al panel de administración de WordPress y la implementación de un Web Application Firewall (WAF) que pueda detectar y bloquear solicitudes CSRF. Además, se puede considerar la implementación de una política de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts, reduciendo el riesgo de ataques CSRF. Después de la actualización, confirme que la validación de nonce se está realizando correctamente revisando el código fuente del plugin.
Actualizar a la versión 9.1.1, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1051 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Newsletter para WordPress que permite a atacantes desuscribir suscriptores mediante solicitudes falsas.
Si está utilizando el plugin Newsletter para WordPress en versiones desde 0.0.0 hasta 9.1.0, es vulnerable a esta vulnerabilidad.
Actualice el plugin Newsletter a la versión 9.1.1 o superior para solucionar la vulnerabilidad.
Hasta la fecha, no se ha reportado explotación activa de esta vulnerabilidad en campañas conocidas, pero se recomienda monitorear la situación.
Consulte el sitio web oficial del plugin Newsletter o el repositorio de WordPress para obtener información y actualizaciones sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.