Resumen vulnerabilidades críticas – 2 elementos (18 ene 2026 Europe/Madrid)
domingo, 18 de enero de 2026
| CVE | Vendor | Producto | Severidad | VAfectadas | Exploit |
|---|---|---|---|---|---|
| CVE-2019-25297 | Opinion Stage | AfectadoPoll, Survey & Quiz Maker Plugin | Se está explotando | No especificadas explícitamente | Sí |
| CVE-2025-10484 | WooCommerce | Registration & Login with Mobile Phone Number for WooCommerce plugin para WordPress | CRITICAL (9.8) | Todas las versiones hasta e incluyendo la 1.3.1 | No |
| CVE | CVE-2019-25297 |
| Severidad | Se está explotando |
| Importancia para la empresa | ALTA |
| Publicado | 2019 |
| Fabricante | Opinion Stage |
| Producto Afectado | Poll, Survey & Quiz Maker Plugin |
| Versiones Afectadas | No especificadas explícitamente |
| Exploit Públicos | Sí, existen pruebas de explotación activa |
| Referencia | CVE-2019-25297 Vulncheck |
| Descripción | Vulnerabilidad de Neutralización Inadecuada de Entrada durante la Generación de Páginas Web (‘Cross-site Scripting’) en el plugin Poll, Survey & Quiz Maker de Opinion Stage, que permite a atacantes inyectar scripts maliciosos. Esto puede ser explotado para ejecutar código malicioso en navegadores de usuarios, comprometiendo la confidencialidad e integridad de la información. |
| Estrategia | Actualizar inmediatamente el plugin a la versión que corrige esta vulnerabilidad. Si el parche no está disponible, desactivar el plugin afectado para evitar explotación. Implementar controles de validación y escape estricto de entradas en las interfaces web y monitorizar activamente intentos de explotación para detectar ataques en curso. |
| CVE | CVE-2025-10484 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | sáb, 17 ene 2026, 10:15 (hora de España) |
| Vendor | WooCommerce |
| Producto | Registration & Login with Mobile Phone Number for WooCommerce plugin para WordPress |
| Versiones | Todas las versiones hasta e incluyendo la 1.3.1 |
| Exploit Públicos | No confirmados |
| Referencia | Sitio oficial del plugin |
| Descripción | El plugin Registration & Login with Mobile Phone Number para WooCommerce en WordPress es vulnerable a una omisión de autenticación en todas las versiones hasta la 1.3.1 inclusive. Esto se debe a que el plugin no verifica correctamente la identidad del usuario antes de autenticarlo mediante la función fma_lwp_set_session_php_fun(). Esto permite que atacantes no autenticados se autentiquen como cualquier usuario del sitio, incluidos administradores, sin necesidad de una contraseña válida. |
| Impacto | Esta vulnerabilidad permite acceso completo no autorizado, lo que puede provocar compromisos críticos en la integridad y confidencialidad de los datos del sitio web, facilitando el control total por parte de atacantes. |
| Estrategia | Actualizar inmediatamente el plugin a una versión parcheada superior a la 1.3.1 cuando esté disponible. Mientras tanto, restringir el uso del plugin o implementar controles adicionales de autenticación y monitorización de accesos para detectar intentos de explotación. |
Enviar a un amigo:
Categories: Check Vulnerabilidades
