Plataforma
wordpress
Componente
xhanch-my-advanced-settings
Corregido en
1.1.3
La vulnerabilidad CVE-2026-3332 afecta al plugin Xhanch – My Advanced Settings para WordPress, permitiendo ataques de Cross-Site Request Forgery (CSRF). Esta falla se debe a la falta de validación de nonce en la función xms_setting(), lo que permite a atacantes modificar configuraciones del plugin. Las versiones afectadas son 1.0.0 hasta 1.1.2, y la solución es actualizar a la versión 1.1.3.
Un atacante puede explotar esta vulnerabilidad para modificar la configuración del plugin Xhanch – My Advanced Settings sin la necesidad de autenticación. Esto incluye la URL del favicon, el ID de la cuenta de Google Analytics y otros ajustes de comportamiento de WordPress. La modificación de la URL del favicon podría usarse para phishing, mientras que el acceso al ID de Google Analytics podría permitir el seguimiento de usuarios. La falta de validación de nonce facilita la creación de solicitudes forjadas que, si un administrador del sitio las ejecuta, comprometerán la configuración del plugin.
Esta vulnerabilidad fue publicada el 2026-03-21. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace relativamente fácil de explotar. La falta de autenticación requerida para la explotación aumenta el riesgo. No se ha añadido a la lista KEV de CISA.
WordPress websites utilizing the Xhanch – My Advanced Settings plugin, particularly those with administrative accounts that are not adequately trained in security best practices, are at risk. Shared hosting environments where multiple websites share the same server resources could also be affected, as a compromise of one site could potentially lead to the exploitation of others.
• wordpress / composer / npm:
grep -r 'xms_setting()' /var/www/html/wp-content/plugins/xhanch-my-advanced-settings/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=xms_setting&setting_name=favicon_url | grep -i '200 OK'disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Xhanch – My Advanced Settings a la versión 1.1.3, que corrige la vulnerabilidad de CSRF. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la restricción del acceso a la página de configuración del plugin, la implementación de un Web Application Firewall (WAF) con reglas para bloquear solicitudes CSRF, o la revisión manual de las solicitudes de actualización de configuración. Después de la actualización, confirme que la validación de nonce está correctamente implementada revisando el código fuente del plugin.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3332 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Xhanch – My Advanced Settings para WordPress, que permite a atacantes modificar configuraciones del plugin.
Si está utilizando Xhanch – My Advanced Settings en las versiones 1.0.0 hasta 1.1.2, es vulnerable a esta vulnerabilidad de CSRF.
La solución es actualizar el plugin a la versión 1.1.3. Si no es posible, aplique mitigaciones como un WAF o restricción de acceso.
No se ha reportado explotación activa, pero la naturaleza de CSRF la hace susceptible a ataques.
Consulte el repositorio oficial del plugin o la página de WordPress.org para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.