Plataforma
wordpress
Componente
add-google-social-profiles-to-knowledge-graph-box
Corregido en
1.0.1
El plugin Add Google Social Profiles to Knowledge Graph Box para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (XSRF) en todas las versiones hasta la 1.0.0, incluyendo la 1.0. Esta falla permite a atacantes no autenticados modificar la configuración del Knowledge Graph del plugin a través de solicitudes falsificadas, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción. La vulnerabilidad fue publicada el 21 de marzo de 2026 y se recomienda actualizar a la versión corregida.
Un atacante puede explotar esta vulnerabilidad de XSRF para modificar la configuración del Knowledge Graph Box del plugin sin la autorización del administrador. Esto podría resultar en la manipulación de la información mostrada en el Knowledge Graph, la inclusión de enlaces maliciosos o la alteración de la apariencia del sitio web. El impacto principal es la pérdida de control sobre la información presentada y la posible redirección de usuarios a sitios web maliciosos. Aunque la severidad es media, la facilidad de explotación y el potencial de manipulación hacen que esta vulnerabilidad sea un riesgo significativo, especialmente en sitios con administradores que no están familiarizados con las mejores prácticas de seguridad.
La vulnerabilidad fue publicada el 21 de marzo de 2026. No se han reportado campañas de explotación activas a la fecha. No se ha añadido a KEV. La probabilidad de explotación se considera baja debido a la necesidad de engañar al administrador del sitio. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
WordPress websites using the Add Google Social Profiles to Knowledge Graph Box plugin, particularly those with administrator accounts that do not have strong passwords or multi-factor authentication enabled, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially vulnerable.
• wordpress / composer / npm:
grep -r 'settings_update' /var/www/html/wp-content/plugins/add-google-social-profiles-to-knowledge-graph-box/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=add_google_social_profiles_to_knowledge_graph_box_settings_update | grep -i 'referer'disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin a la versión corregida tan pronto como esté disponible. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Una posible solución temporal es restringir el acceso a la página de configuración del plugin, requiriendo autenticación para cada solicitud. Además, se puede implementar una política de seguridad de contenido (CSP) para mitigar los ataques XSRF. Verifique que la actualización se haya realizado correctamente revisando la versión del plugin en el panel de administración de WordPress.
No hay parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1393 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el plugin Add Google Social Profiles to Knowledge Graph Box para WordPress, permitiendo a atacantes modificar la configuración del Knowledge Graph.
Sí, si está utilizando el plugin Add Google Social Profiles to Knowledge Graph Box en versiones anteriores a la 1.0.0, es vulnerable a esta vulnerabilidad de XSRF.
La solución es actualizar el plugin a la versión corregida tan pronto como esté disponible. Si no es posible, implemente medidas de mitigación como restringir el acceso a la página de configuración.
Hasta la fecha, no se han reportado campañas de explotación activas, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
Consulte el sitio web del desarrollador del plugin o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad y la versión corregida.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.