Plataforma
wordpress
Componente
minify-html-markup
Corregido en
2.1.13
El plugin Minify HTML para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (XSRF) en versiones desde 0.0.0 hasta la 2.1.12. Esta debilidad se debe a la falta o validación incorrecta de nonces en la función 'minifyhtmlmenu_options', permitiendo a atacantes no autenticados modificar la configuración del plugin. La vulnerabilidad fue publicada el 31 de marzo de 2026 y se ha solucionado en la versión 2.1.13.
Un atacante puede explotar esta vulnerabilidad XSRF para modificar la configuración del plugin Minify HTML sin necesidad de autenticación. Esto podría incluir cambios en la configuración de minificación, lo que podría afectar el rendimiento del sitio web o introducir vulnerabilidades adicionales. El atacante necesita engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace malicioso, para ejecutar la solicitud forjada. La modificación de la configuración del plugin podría permitir al atacante inyectar código malicioso en las páginas web, comprometiendo la seguridad del sitio.
Esta vulnerabilidad se ha publicado públicamente y, aunque no se han reportado casos de explotación activa, la naturaleza de las vulnerabilidades XSRF las hace susceptibles a ataques automatizados. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
WordPress websites utilizing the Minify HTML plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r 'minify_html_menu_options' /var/www/html/wp-content/plugins/minify-html/includes/• wordpress / composer / npm:
wp plugin list | grep minify-html• wordpress / composer / npm:
wp plugin update minify-htmldisclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Minify HTML a la versión 2.1.13 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se recomienda implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten modificar la configuración del plugin. Monitoree los logs del servidor en busca de patrones de solicitudes inusuales que puedan indicar un intento de explotación.
Actualizar a la versión 2.1.13, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3191 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el plugin Minify HTML para WordPress, permitiendo a atacantes modificar la configuración del plugin sin autenticación.
Sí, si está utilizando el plugin Minify HTML en versiones anteriores a la 2.1.13, es vulnerable a esta vulnerabilidad XSRF.
Actualice el plugin Minify HTML a la versión 2.1.13 o superior para solucionar la vulnerabilidad XSRF.
Aunque no se han reportado casos de explotación activa, la naturaleza de las vulnerabilidades XSRF las hace susceptibles a ataques automatizados.
Consulte el sitio web de WordPress o el repositorio del plugin Minify HTML para obtener la información oficial y las notas de la versión.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.