Plataforma
wordpress
Componente
google-pagerank-display
Corregido en
1.4.1
1.4.1
La vulnerabilidad CVE-2026-6294 afecta al plugin Google PageRank Display para WordPress en versiones hasta la 1.4. Esta vulnerabilidad de Cross-Site Request Forgery (XSRF) permite a un atacante, mediante el engaño, modificar la configuración del plugin. La falta de validación de nonce en la función gpdisplay_option() es la causa principal. La actualización a una versión corregida es la solución recomendada.
Un atacante puede explotar esta vulnerabilidad XSRF para modificar la configuración del plugin Google PageRank Display sin la autorización del administrador. Esto podría incluir cambios en la apariencia del sitio web, la forma en que se muestra el PageRank, o incluso la inyección de código malicioso a través de configuraciones incorrectas. El impacto es moderado, ya que requiere que el administrador esté logueado y sea engañado para que realice la acción maliciosa. Sin embargo, la modificación de la configuración del plugin puede tener consecuencias significativas para la funcionalidad y seguridad del sitio web.
Esta vulnerabilidad fue publicada el 2026-04-21. No se ha reportado explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. La presencia de una vulnerabilidad XSRF en un plugin popular como Google PageRank Display aumenta el riesgo de explotación, especialmente si los administradores no están al tanto de las mejores prácticas de seguridad.
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Google PageRank Display a una versión corregida, una vez que esté disponible. Mientras tanto, se recomienda implementar medidas de seguridad adicionales. Es crucial implementar la validación de nonce en el formulario de configuración del plugin para prevenir ataques XSRF. Se puede considerar la implementación de un Web Application Firewall (WAF) que filtre solicitudes sospechosas. Además, se recomienda educar a los administradores sobre los riesgos de los ataques de phishing y la importancia de verificar las solicitudes antes de enviarlas.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-6294 is a Cross-Site Request Forgery (XSRF) vulnerability affecting the Google PageRank Display WordPress plugin versions up to 1.4. It allows attackers to manipulate plugin settings by tricking administrators into submitting malicious requests.
You are affected if you are using the Google PageRank Display WordPress plugin version 1.4 or earlier. Upgrade to the latest version to resolve this vulnerability.
The recommended fix is to upgrade the Google PageRank Display plugin to a patched version. As a temporary workaround, implement a WAF rule to filter suspicious POST requests to the plugin's settings page.
Currently, there are no known public exploits or active campaigns targeting CVE-2026-6294, but the XSRF nature of the vulnerability means it remains a potential risk.
Refer to the WordPress plugin repository and associated security advisories for updates and information regarding CVE-2026-6294. Check the plugin author's website for any specific announcements.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.