Plataforma
wordpress
Componente
redirect-countdown
Corregido en
1.0.1
El plugin Redirect countdown para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (XSRF) en las versiones 1.0.0 hasta 1.0. Esta debilidad permite a atacantes no autenticados modificar la configuración del plugin, como el tiempo de espera de redirección, la URL de destino y el texto personalizado. La vulnerabilidad radica en la falta de validación de nonce en la función countdownsettingscontent(). Se recomienda actualizar el plugin a la versión corregida o implementar medidas de mitigación.
Un atacante puede explotar esta vulnerabilidad XSRF para realizar cambios no autorizados en la configuración del plugin Redirect countdown. Esto podría incluir la modificación de la URL de redirección para enviar a los usuarios a sitios web maliciosos, la alteración del texto personalizado para mostrar contenido engañoso o la manipulación del tiempo de espera de redirección para interrumpir el flujo normal del sitio web. El impacto se amplifica si el sitio web es utilizado por un gran número de usuarios, ya que un atacante podría afectar a todos ellos con una única solicitud XSRF. Esta vulnerabilidad es similar a otras XSRF que afectan a plugins de WordPress, donde la falta de validación de nonce permite la manipulación de la configuración.
Esta vulnerabilidad fue publicada el 2026-03-21. No se ha reportado su inclusión en el KEV de CISA. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad XSRF la hace susceptible a explotación. La probabilidad de explotación se considera media, dada la facilidad de ejecución de ataques XSRF y la amplia base de usuarios de WordPress.
WordPress sites utilizing the Redirect countdown plugin are at risk. Shared hosting environments where multiple websites share the same server resources are particularly vulnerable, as an attacker could potentially exploit the vulnerability on one site to impact others. Site administrators who routinely click on links from untrusted sources are also at increased risk.
• wordpress / composer / npm:
grep -r 'countdown_settings_content()' /var/www/html/wp-content/plugins/redirect-countdown/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=redirect_countdown_settings_content&nonce=malicious_nonce | grep -i '200 OK'disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Redirect countdown a la versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de seguridad adicionales. Implementar un firewall de aplicaciones web (WAF) puede ayudar a bloquear solicitudes XSRF maliciosas. Asegurarse de que los usuarios utilicen contraseñas seguras y habiliten la autenticación de dos factores (2FA) puede reducir el riesgo de que un atacante obtenga acceso a una cuenta de administrador. Además, se recomienda revisar regularmente los registros del sitio web en busca de actividad sospechosa. Una vez aplicada la actualización, verificar que la función countdownsettingscontent() ahora incluya la validación de nonce para prevenir futuras solicitudes XSRF.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1390 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el plugin Redirect countdown para WordPress, que permite a atacantes modificar la configuración del plugin sin autenticación.
Si está utilizando el plugin Redirect countdown en las versiones 1.0.0–1.0, es vulnerable a esta vulnerabilidad XSRF.
Actualice el plugin Redirect countdown a la versión corregida, una vez que esté disponible. Mientras tanto, implemente medidas de mitigación como un WAF y autenticación de dos factores.
No se conocen públicamente explotaciones activas, pero la naturaleza de la vulnerabilidad XSRF la hace susceptible a explotación.
Consulte el sitio web del plugin Redirect countdown o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.