Plataforma
wordpress
Componente
sr-wp-minify-html
Corregido en
2.2
El plugin SR WP Minify HTML para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (XSRF) en todas las versiones hasta la 2.1. Esta debilidad se debe a la falta de validación de nonce en la función srminifyhtml_theme(). Esto permite a atacantes no autenticados modificar la configuración del plugin si logran engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace.
Un atacante puede explotar esta vulnerabilidad para modificar la configuración del plugin SR WP Minify HTML sin la necesidad de autenticarse. Esto podría incluir la modificación de las reglas de minificación, la inclusión de código malicioso en los archivos minificados o la alteración de otras opciones del plugin. El impacto potencial es la inyección de código malicioso en las páginas web, lo que podría llevar al robo de información sensible, la redirección de usuarios a sitios maliciosos o la ejecución de código arbitrario en el servidor. Aunque la validación de nonce faltante es un problema común, la facilidad de explotación en este caso, dada la naturaleza de la interfaz de administración de WordPress, aumenta el riesgo.
Esta vulnerabilidad ha sido publicada públicamente el 2026-03-21. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas en el momento de la redacción. Sin embargo, dada la facilidad de explotación de las vulnerabilidades XSRF y la amplia adopción de plugins de WordPress, existe un riesgo potencial de explotación en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Websites using the SR WP Minify HTML plugin, particularly those with shared hosting environments or lacking robust administrator access controls, are at increased risk. Sites where administrators frequently click on links from untrusted sources are also more vulnerable.
• wordpress / composer / npm:
grep -r 'sr_minify_html_theme()' /var/www/html/wp-content/plugins/sr-wp-minify-html/ | grep -i 'nonce'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=sr_minify_html_theme&nonce=invalid | grep -i '200 OK'disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin SR WP Minify HTML a la versión 2.2 o superior, que incluye la corrección de la validación de nonce. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la interfaz de administración de WordPress y utilizar un firewall de aplicaciones web (WAF) que pueda detectar y bloquear solicitudes XSRF. Además, se debe educar a los administradores del sitio sobre los riesgos de las solicitudes sospechosas y la importancia de verificar la autenticidad de los enlaces antes de hacer clic en ellos. Después de la actualización, confirme que la validación de nonce está funcionando correctamente revisando el código fuente del plugin o utilizando herramientas de depuración.
No hay un parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1392 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el plugin SR WP Minify HTML para WordPress, que permite a atacantes modificar la configuración del plugin sin autenticación.
Si está utilizando el plugin SR WP Minify HTML en versiones anteriores a la 2.2, es vulnerable a esta vulnerabilidad. Actualice a la versión 2.2 o superior para mitigar el riesgo.
La solución es actualizar el plugin SR WP Minify HTML a la versión 2.2 o superior. Si no puede actualizar inmediatamente, implemente medidas de seguridad adicionales como un WAF.
Actualmente no se han reportado campañas de explotación activas, pero dada la naturaleza de la vulnerabilidad, existe un riesgo potencial de explotación en el futuro.
Consulte el sitio web del desarrollador del plugin o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad y la solución.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.