Fuente base de datos: Wordfence Intelligence

TS Poll – Survey, Versus Poll, Image Poll, Video Poll <= 2.5.5 - Authenticated (Editor+) Server-Side Request Forgery en Poll WP (Server-Side Request Forgery (SSRF)) - version 2.6.0

PLUGIN MEDIUM CVE-2026-25428

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el plugin TS Poll, que afecta a las versiones hasta la 2.5.5. Esta falla puede ser explotada por usuarios autenticados, lo que podría comprometer la seguridad operativa del sitio.

Contexto técnico

El fallo se origina en la forma en que el plugin maneja las solicitudes del servidor, permitiendo a un usuario autenticado realizar peticiones no autorizadas a recursos internos. Esta superficie de ataque es crítica, ya que puede ser aprovechada sin necesidad de privilegios elevados.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante acceder a información sensible del servidor, lo que podría resultar en la exposición de datos críticos y afectar la integridad del sistema. Esto puede tener repercusiones significativas en la confianza del cliente y en la reputación del negocio.

Vector de explotación

La explotación se lleva a cabo mediante la manipulación de las solicitudes realizadas por el plugin, permitiendo a un atacante autenticado redirigir estas solicitudes a recursos internos, lo que puede resultar en fugas de información.

Mitigación recomendada

Actualizar el plugin TS Poll a la versión 2.5.5 o superior para cerrar la vulnerabilidad. Revisar los registros de acceso para detectar actividades sospechosas relacionadas con el uso del plugin. Implementar controles adicionales de seguridad, como la limitación de privilegios de usuario y el monitoreo de solicitudes del servidor.

Señales de detección

Observa registros de acceso inusuales que indiquen intentos de realizar solicitudes a recursos internos. También, verifica configuraciones del plugin que no coincidan con las prácticas recomendadas de seguridad.

Alcance afectado

Las versiones del plugin TS Poll hasta la 2.5.5 son vulnerables. No se han confirmado otros escenarios o versiones afectadas.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

advanced-import

Advanced Import: One-Click Demo Import for WordPress <= 1.4.6 - Authenticated (Author+) Server-Side Request Forgery via 'demo_file' Parameter

MEDIUM PLUGIN

bit-integrations

Bit integrations <= 2.8.7 - Unauthenticated Server-Side Request Forgery via Form Field Upload Mapping

HIGH PLUGIN

cf7-to-zapier

CF7 to Webhook <= 5.0.0 - Unauthenticated Server-Side Request Forgery via CF7 Field Placeholder in Webhook URL Host

HIGH PLUGIN

fediverse-embeds

Fediverse Embeds <= 1.5.7 - Unauthenticated Server-Side Request Forgery

HIGH PLUGIN

fediverse-embeds

Fediverse Embeds <= 1.5.7 - Unauthenticated Server-Side Request Forgery

HIGH PLUGIN

essential-blocks

Gutenberg Essential Blocks – Page Builder for Gutenberg Blocks & Patterns <= 6.1.3 - Authenticated (Author+) Server-Side Request Forgery

MEDIUM PLUGIN

independent-analytics

Independent Analytics <= 2.14.9 - Unauthenticated Server-Side Request Forgery via Tracking Route

MEDIUM PLUGIN

fluent-crm

FluentCRM <= 2.9.87 - Unauthenticated Blind Server-Side Request Forgery via 'SubscribeURL' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto