Plataforma
wordpress
Componente
inquiry-cart
Corregido en
3.4.3
3.4.3
El plugin Inquiry Cart para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (XSRF) en todas las versiones hasta la 3.4.2, inclusive. Esta debilidad se debe a la falta de verificación de nonce en la función rdicsettings_page al procesar envíos de formularios de configuración. La explotación exitosa permite a un atacante modificar la configuración del plugin, potencialmente inyectando scripts maliciosos.
Un atacante podría aprovechar esta vulnerabilidad XSRF para modificar la configuración del plugin Inquiry Cart sin la autorización del administrador. Esto podría incluir la inyección de código JavaScript malicioso que se almacenará y ejecutará en el área de administración de WordPress. El impacto potencial es significativo, ya que un atacante podría comprometer la integridad del sitio web, robar credenciales de administrador o redirigir a los usuarios a sitios maliciosos. La falta de nonce verification facilita la creación de solicitudes forjadas que se ejecutan con los privilegios del usuario autenticado.
Esta vulnerabilidad fue publicada el 2026-04-21. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSRF hace que sea relativamente fácil de explotar una vez que se tiene acceso a un usuario autenticado. La ausencia de una versión 'fixed_in' implica que la mitigación se basa en medidas preventivas y la espera de una actualización del plugin.
Estado del Exploit
EPSS
0.01% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Inquiry Cart a una versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar algunas medidas temporales. Restringir el acceso al panel de administración de WordPress es crucial. Implementar un Web Application Firewall (WAF) con reglas para detectar y bloquear solicitudes XSRF puede proporcionar una capa adicional de protección. Además, se recomienda revisar regularmente los logs del sitio web en busca de actividad sospechosa.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4090 is a Cross-Site Request Forgery (XSRF) vulnerability affecting the Inquiry Cart WordPress plugin versions up to 3.4.2. It allows attackers to manipulate plugin settings via forged requests.
Yes, if you are using the Inquiry Cart plugin in WordPress and are running version 3.4.2 or earlier, you are vulnerable to this XSRF attack.
Upgrade the Inquiry Cart plugin to the latest version that addresses this vulnerability. If immediate upgrade is not possible, implement a WAF with XSRF protection.
While no widespread exploitation has been reported, the vulnerability's nature makes it easily exploitable, so active exploitation is possible.
Check the Inquiry Cart plugin's official website and WordPress plugin repository for the latest security updates and advisories related to CVE-2026-4090.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.