Plataforma
wordpress
Componente
da10
Corregido en
11.2.1
La vulnerabilidad CVE-2026-22342 afecta al tema Dating para WordPress, permitiendo ataques de Cross-Site Request Forgery (XSRF). Esta falla se debe a la falta o validación incorrecta de nonce en una función específica del tema. El impacto principal es la posibilidad de que un atacante, mediante una solicitud forjada, pueda engañar a un administrador del sitio para que ejecute acciones no deseadas.
Un atacante podría explotar esta vulnerabilidad para realizar acciones en nombre de un administrador del sitio WordPress, como modificar la configuración, publicar contenido malicioso o incluso eliminar datos. El ataque se basa en la capacidad del atacante para engañar al administrador para que haga clic en un enlace especialmente diseñado. La severidad de este ataque depende del nivel de privilegios del administrador engañado y de la sensibilidad de los datos y funcionalidades del sitio web. Aunque no se ha reportado explotación activa, la naturaleza de XSRF hace que esta vulnerabilidad sea fácilmente explotable.
Esta vulnerabilidad se publicó el 23 de diciembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de pruebas de concepto (PoC) públicas activas. Sin embargo, la naturaleza de XSRF implica que la probabilidad de explotación es moderada, especialmente en sitios con administradores menos experimentados o con configuraciones de seguridad deficientes.
Websites using the Dating WordPress theme, particularly those with active administrators who regularly log in and manage the site, are at risk. Shared hosting environments where multiple websites share the same server resources could also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'wp_nonce_url' /var/www/html/wp-content/themes/dating/• generic web:
curl -I https://example.com/admin/ | grep -i 'referer'disclosure
Estado del Exploit
Vector CVSS
La mitigación principal es actualizar el tema Dating a una versión posterior a la 11.2.0, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la restricción de acceso a funciones críticas del sitio web y la implementación de una Web Application Firewall (WAF) que pueda detectar y bloquear solicitudes XSRF. También es crucial educar a los administradores del sitio sobre los riesgos de XSRF y la importancia de verificar la autenticidad de los enlaces antes de hacer clic en ellos. Después de la actualización, confirme que la validación de nonce funciona correctamente revisando el código del tema.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-22342 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el tema Dating para WordPress, permitiendo a atacantes realizar acciones no autorizadas.
Si está utilizando el tema Dating para WordPress en una versión igual o inferior a 11.2.0, es vulnerable a esta vulnerabilidad XSRF.
Actualice el tema Dating a una versión posterior a la 11.2.0. Si no es posible, implemente medidas de mitigación como una WAF.
Aunque no se ha reportado explotación activa, la naturaleza de XSRF implica una probabilidad moderada de explotación.
Consulte el sitio web de WordPress y el repositorio del tema Dating para obtener información oficial y actualizaciones.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.