Plataforma
wordpress
Componente
call-to-action-plugin
Corregido en
3.1.4
3.1.4
La vulnerabilidad Cross-Site Request Forgery (XSRF) en el plugin Call To Action para WordPress permite a atacantes no autenticados modificar la configuración del plugin. Esta vulnerabilidad se debe a la falta de validación de nonce en la función cboxoptionspage(). Afecta a todas las versiones del plugin hasta la 3.1.3. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación.
Un atacante podría explotar esta vulnerabilidad para modificar la configuración del plugin Call To Action, como el título de la caja de llamada a la acción, el contenido y otros parámetros. Esto podría resultar en la manipulación del sitio web, la inyección de código malicioso o la redirección de usuarios a sitios web no deseados. La falta de validación de nonce facilita la creación de solicitudes maliciosas que se ejecutan con los privilegios del usuario autenticado, permitiendo al atacante realizar cambios sin autorización. La severidad de este impacto depende de la sensibilidad de la información o funcionalidad controlada por la configuración del plugin.
Esta vulnerabilidad fue publicada el 2026-04-21. No se han reportado campañas de explotación activas a la fecha. No se encuentra en el KEV de CISA. La ausencia de un nonce en los formularios del plugin facilita la explotación, pero la necesidad de un usuario autenticado limita el alcance del ataque.
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Call To Action a la última versión disponible, que incluye la corrección de la vulnerabilidad XSRF. Si la actualización no es posible de inmediato, se pueden implementar medidas de mitigación temporales. Estas medidas incluyen la implementación de una política de seguridad de contenido (CSP) que restrinja las fuentes de las que se pueden cargar los scripts, y la adición de nonce a los formularios del plugin para prevenir ataques XSRF. Verifique que la actualización se haya realizado correctamente revisando los logs del servidor y confirmando que las solicitudes POST al plugin ahora incluyen un nonce válido.
No hay un parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4118 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the Call To Action Plugin for WordPress versions up to 3.1.3. It allows attackers to modify plugin settings without authentication.
Yes, if you are using the Call To Action Plugin for WordPress and are running version 3.1.3 or earlier, you are potentially affected by this CSRF vulnerability.
Upgrade the Call To Action Plugin to a patched version as soon as it becomes available. Until then, implement a WAF rule or restrict access to the plugin settings page.
As of the current assessment, CVE-2026-4118 is not known to be actively exploited, but the ease of exploitation warrants vigilance.
Refer to the Call To Action Plugin's official website or WordPress plugin repository for updates and advisories related to CVE-2026-4118.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.