Plataforma
wordpress
Componente
kcaptcha
Corregido en
1.0.2
El plugin Kcaptcha para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (XSRF) en las versiones 1.0.0 hasta 1.0.1. Esta falla se debe a la ausencia de validación de nonce en el manejador de la página de configuración (admin/setting.php). Un atacante podría aprovechar esta debilidad para modificar la configuración del CAPTCHA, afectando la seguridad de los procesos de inicio de sesión, registro y comentarios. Se recomienda aplicar las mitigaciones propuestas o actualizar el plugin a una versión corregida.
La vulnerabilidad XSRF en Kcaptcha permite a un atacante, sin necesidad de autenticación, modificar la configuración del plugin CAPTCHA. Esto incluye la posibilidad de deshabilitar el CAPTCHA en páginas críticas como el inicio de sesión, el registro de usuarios y la recuperación de contraseñas. Al deshabilitar el CAPTCHA, un atacante podría realizar ataques de fuerza bruta o inyección de usuarios maliciosos, comprometiendo la seguridad de la aplicación WordPress. La falta de validación de nonce facilita la creación de solicitudes falsas que se ejecutan con los privilegios del usuario autenticado, lo que amplía el alcance del ataque. Esta vulnerabilidad es similar a otras XSRF que explotan la falta de protección en formularios de administración.
La vulnerabilidad CVE-2026-4121 fue publicada el 22 de abril de 2026. No se ha reportado su inclusión en el KEV de CISA ni se ha identificado una puntuación EPSS. Actualmente no se conocen pruebas de concepto (PoC) públicas, pero la naturaleza de la vulnerabilidad XSRF la hace susceptible a explotación. Se recomienda monitorear activamente los logs y aplicar las mitigaciones propuestas para reducir el riesgo.
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
Vector CVSS
Dado que no se proporciona una versión corregida, la mitigación principal se centra en la protección contra ataques XSRF. Implemente reglas en su Web Application Firewall (WAF) para bloquear solicitudes POST sospechosas dirigidas a admin/setting.php. Considere agregar una capa adicional de protección mediante la implementación de un sistema de nonce personalizado para la página de configuración. Revise los logs de acceso y error en busca de patrones inusuales de solicitudes POST a admin/setting.php. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el riesgo al restringir las fuentes de las que se pueden cargar los scripts. Después de implementar estas medidas, verifique la seguridad de la página de configuración mediante pruebas manuales y herramientas de escaneo de vulnerabilidades.
No hay parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4121 is a Cross-Site Request Forgery (XSRF) vulnerability affecting the Kcaptcha WordPress plugin versions 1.0.0–1.0.1. It allows attackers to modify CAPTCHA settings due to missing nonce validation, potentially disabling CAPTCHA protection.
If you are using the Kcaptcha WordPress plugin in versions 1.0.0 or 1.0.1, you are potentially affected by this vulnerability. Check your plugin versions and apply the recommended mitigations.
The recommended fix is to upgrade to a patched version of the Kcaptcha plugin as soon as it's available. Until then, implement WAF rules or a custom security plugin to enforce nonce validation.
While no public exploits have been identified, the ease of exploitation suggests it could become a target. Monitor security advisories and WordPress vulnerability databases for updates.
Refer to the WordPress plugin repository and the Kcaptcha plugin developer's website for official advisories and updates related to CVE-2026-4121.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.