Fuente base de datos: Wordfence Intelligence

TS Poll – Survey, Versus Poll, Image Poll, Video Poll <= 2.5.5 - Authenticated (Editor+) Server-Side Request Forgery en Poll WP (Server-Side Request Forgery (SSRF))

PLUGIN MEDIUM CVE-2026-25428

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el plugin TS Poll, que afecta a las versiones hasta la 2.5.5. Esta falla puede ser explotada por usuarios autenticados, lo que podría comprometer la seguridad operativa del sitio.

Contexto técnico

El fallo se origina en la forma en que el plugin maneja las solicitudes del servidor, permitiendo a un usuario autenticado realizar peticiones no autorizadas a recursos internos. Esta superficie de ataque es crítica, ya que puede ser aprovechada sin necesidad de privilegios elevados.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante acceder a información sensible del servidor, lo que podría resultar en la exposición de datos críticos y afectar la integridad del sistema. Esto puede tener repercusiones significativas en la confianza del cliente y en la reputación del negocio.

Vector de explotación

La explotación se lleva a cabo mediante la manipulación de las solicitudes realizadas por el plugin, permitiendo a un atacante autenticado redirigir estas solicitudes a recursos internos, lo que puede resultar en fugas de información.

Mitigación recomendada

Actualizar el plugin TS Poll a la versión 2.5.5 o superior para cerrar la vulnerabilidad. Revisar los registros de acceso para detectar actividades sospechosas relacionadas con el uso del plugin. Implementar controles adicionales de seguridad, como la limitación de privilegios de usuario y el monitoreo de solicitudes del servidor.

Señales de detección

Observa registros de acceso inusuales que indiquen intentos de realizar solicitudes a recursos internos. También, verifica configuraciones del plugin que no coincidan con las prácticas recomendadas de seguridad.

Alcance afectado

Las versiones del plugin TS Poll hasta la 2.5.5 son vulnerables. No se han confirmado otros escenarios o versiones afectadas.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

gutenverse

Gutenverse – Ultimate WordPress FSE Blocks Addons & Ecosystem <= 3.5.3 - Authenticated (Contributor+) Server-Side Request Forgery via 'imageUrl'

MEDIUM THEME

ona

Ona <= 1.26 - Authenticated (Administrator+) Blind Server-Side Request Forgery via 'download_link' Parameter

HIGH PLUGIN

pixelyoursite-pro

PixelYourSite Pro <= 12.5.0.1 - Unauthenticated Blind Server-Side Request Forgery via 'urls[]' Parameter

HIGH PLUGIN

royal-elementor-addons

Royal Addons for Elementor <= 1.7.1057 - Authenticated (Contributor+) Server-Side Request Forgery via CSV URL Parameter

MEDIUM PLUGIN

userswp

UsersWP <= 1.2.58 - Authenticated (Subscriber+) Server-Side Request Forgery via 'uwp_crop' Parameter

HIGH PLUGIN

webmention

Webmention <= 5.6.2 - Unauthenticated Blind Server-Side Request Forgery

MEDIUM PLUGIN

webmention

Webmention <= 5.6.2 - Authenticated (Subscriber+) Server-Side Request Forgery

HIGH THEME

oxygen

Oxygen <= 6.0.8 - Unauthenticated Server-Side Request Forgery via route_path

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto