Plataforma
wordpress
Componente
grandblog
Corregido en
3.1.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Grand Blog. Esta vulnerabilidad permite a un atacante, aprovechando la autenticación de un usuario legítimo, ejecutar acciones no autorizadas en el sistema. La vulnerabilidad afecta a las versiones de Grand Blog desde 0.0.0 hasta la 3.1. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación para reducir el riesgo.
La vulnerabilidad CSRF en Grand Blog permite a un atacante realizar acciones en nombre de un usuario autenticado sin su conocimiento o consentimiento. Esto podría incluir la modificación de contenido, la creación de nuevos usuarios con privilegios elevados, o la alteración de la configuración del sitio web. Un atacante podría, por ejemplo, enviar un correo electrónico con un enlace malicioso que, al ser visitado por un usuario autenticado, ejecutaría una acción no deseada en el sitio. La magnitud del impacto depende de los permisos del usuario comprometido y de la sensibilidad de las acciones que pueda realizar.
La vulnerabilidad fue publicada el 8 de abril de 2026. No se han reportado campañas de explotación activas conocidas a la fecha. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación se considera baja, pero la facilidad de explotación hace que sea importante aplicar las mitigaciones recomendadas.
Websites using the Grand Blog WordPress plugin, particularly those with administrative users who frequently interact with the plugin's features, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources could also be affected, as a compromise of one site could potentially lead to the exploitation of others.
• wordpress / composer / npm:
grep -r 'grandblog_settings_update' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/grandblog/ | grep -i 'csrf-token'disclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
Vector CVSS
La mitigación principal es actualizar Grand Blog a la versión corregida, una vez disponible. Mientras tanto, se pueden implementar medidas de seguridad adicionales. Implementar la validación de tokens CSRF en todas las acciones sensibles del plugin es crucial. Además, se recomienda configurar el sitio web para que requiera autenticación para todas las acciones críticas. Utilizar un Web Application Firewall (WAF) con reglas para detectar y bloquear solicitudes CSRF también puede ayudar a mitigar el riesgo. Verifique después de la actualización que las acciones sensibles requieran autenticación y que los tokens CSRF se validen correctamente.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39632 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the Grand Blog WordPress plugin, allowing attackers to perform unauthorized actions.
You are affected if you are using Grand Blog versions 0.0.0 through 3.1. Check your plugin version and upgrade as soon as a patch is available.
Upgrade to the latest version of the Grand Blog plugin as soon as a patch is released. Until then, consider implementing CSRF token protection and WAF rules.
Currently, there are no publicly known active exploitation campaigns, but it's crucial to apply the patch promptly to prevent potential attacks.
Check the Grand Blog plugin's official website and WordPress plugin repository for updates and security advisories related to CVE-2026-39632.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.