Plataforma
wordpress
Componente
newsexo
Corregido en
7.1.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin NewsExo para WordPress. Esta vulnerabilidad permite a un atacante, mediante la manipulación de solicitudes web, ejecutar acciones en nombre de un usuario autenticado sin su consentimiento. Afecta a las versiones desde 0.0.0 hasta la 7.1. La solución recomendada es actualizar el plugin a la última versión disponible.
La vulnerabilidad CSRF en NewsExo permite a un atacante realizar acciones como modificar la configuración del plugin, publicar noticias falsas o incluso eliminar contenido, siempre y cuando el usuario esté autenticado en el sitio web. El ataque se basa en engañar al usuario para que haga clic en un enlace malicioso o visite una página web comprometida que contenga una solicitud CSRF. El impacto potencial es significativo, ya que un atacante puede comprometer la integridad del sitio web y la información que contiene, afectando la reputación y la confianza de los usuarios. Aunque no se han reportado explotaciones activas, la facilidad de explotación hace que esta vulnerabilidad sea un riesgo considerable.
La vulnerabilidad ha sido publicada el 8 de abril de 2026. No se ha añadido a la lista KEV de CISA ni se ha identificado una puntuación EPSS. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad CSRF la hace susceptible a explotación. Se recomienda monitorear de cerca los registros del sitio web en busca de actividad sospechosa.
Websites using the NewsExo WordPress plugin, particularly those with user accounts and sensitive data managed through the plugin, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially impact others.
• wordpress / plugin:
grep -r 'newsExo_ajax_nonce' /var/www/html/wp-content/plugins/• wordpress / plugin:
wp plugin list --status=inactive | grep NewsExo• wordpress / plugin: Check for unusual or unauthorized actions within the NewsExo plugin's admin interface.
disclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
Vector CVSS
La mitigación principal es actualizar NewsExo a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la validación de tokens CSRF en todas las solicitudes críticas. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten explotar esta vulnerabilidad. Es crucial revisar y fortalecer las políticas de seguridad del sitio web para prevenir ataques CSRF.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39618 is a Cross-Site Request Forgery (CSRF) vulnerability affecting NewsExo WordPress plugin versions 0.0.0 through 7.1, allowing attackers to perform unauthorized actions.
If you are using NewsExo WordPress plugin versions 0.0.0 to 7.1, you are potentially affected by this vulnerability. Upgrade immediately.
Upgrade the NewsExo WordPress plugin to the latest available version from the WordPress plugin repository. Consider implementing CSP headers and server-side CSRF protection as temporary workarounds.
There is currently no evidence of active exploitation, but the vulnerability is publicly known and could be exploited.
Check the NewsExo plugin page on the WordPress plugin repository for updates and security advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.