Fuente base de datos: Wordfence Intelligence

Zita Site Library for Elementor <= 1.6.6 - Cross-Site Request Forgery (Cross-Site Request Forgery (CSRF)) - version 1.6.7

PLUGIN MEDIUM CVE-2026-25319

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Zita Site Library para Elementor, afectando a versiones hasta la 1.6.6. Esta falla puede comprometer la seguridad operativa del sitio, permitiendo acciones no autorizadas en nombre de usuarios legítimos.

Contexto técnico

El fallo se presenta en la gestión de solicitudes del plugin, permitiendo que un atacante envíe peticiones maliciosas a través de formularios o enlaces engañosos. La superficie de ataque se centra en la interacción del usuario con el sitio web, donde la falta de validación adecuada de las solicitudes puede ser explotada.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la ejecución de acciones no deseadas en el contexto de un usuario autenticado, afectando la integridad de los datos y la confianza del usuario. Esto puede llevar a un deterioro de la reputación del negocio y a posibles pérdidas económicas.

Vector de explotación

Un atacante puede aprovechar esta vulnerabilidad enviando un enlace malicioso a un usuario autenticado, induciéndolo a realizar una acción no intencionada en el sitio web.

Mitigación recomendada

Actualizar el plugin Zita Site Library a la versión 1.6.7 o superior para corregir la vulnerabilidad. Revisar y reforzar la implementación de medidas de seguridad como tokens CSRF en formularios. Realizar auditorías de seguridad periódicas para identificar y mitigar futuras vulnerabilidades.

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales de solicitudes que puedan indicar intentos de explotación, así como configuraciones de seguridad que no implementen tokens CSRF.

Alcance afectado

Versiones afectadas: Zita Site Library para Elementor hasta la 1.6.6. La versión 1.6.7 y posteriores no presentan esta vulnerabilidad. No se han confirmado otros escenarios de explotación.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

ultimate-dashboard

Ultimate Dashboard <= 3.8.14 - Cross-Site Request Forgery to Module Activation/Deactivation

MEDIUM PLUGIN

taqnix

Taqnix <= 1.0.3 - Cross-Site Request Forgery to Account Deletion via 'taqnix_delete_my_account' AJAX Action

MEDIUM THEME

avada

Avada < 7.13.2 - Cross-Site Request Forgery

MEDIUM PLUGIN

google-pagerank-display

Google PageRank Display <= 1.4 - Cross-Site Request Forgery to Settings Update via Settings Page

MEDIUM PLUGIN

fast-fancy-filter-3f

Fast & Fancy Filter – 3F <= 1.2.2 - Cross-Site Request Forgery to Settings Modification via fff_save_settins AJAX Action

MEDIUM PLUGIN

dx-unanswered-comments

DX Unanswered Comments <= 1.7 - Cross-Site Request Forgery via Settings Update

MEDIUM PLUGIN

mcatfilter

mCatFilter <= 0.5.2 - Cross-Site Request Forgery via compute_post() Function

MEDIUM PLUGIN

call-to-action-plugin

Call To Action Plugin <= 3.1.3 - Cross-Site Request Forgery via Settings Update

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto