Fuente base de datos: Wordfence Intelligence

MP Customize Login Page <= 1.0 - Cross-Site Request Forgery to Settings Update (Cross-Site Request Forgery (CSRF))

PLUGIN MEDIUM CVE-2026-6292

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin MP Customize Login Page, que permite la modificación de configuraciones sin la autorización adecuada. Este fallo, con severidad media, puede comprometer la integridad de la configuración de la página de inicio de sesión, afectando la seguridad operativa del sitio.

Contexto técnico

El fallo se origina en el plugin MP Customize Login Page en versiones iguales o inferiores a 1.0, donde un atacante puede enviar solicitudes maliciosas que alteren la configuración del plugin. La superficie de ataque se centra en la interacción del usuario con el plugin, donde no se implementan adecuadamente las medidas de protección CSRF.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante no autorizado modificar la configuración de inicio de sesión, lo que podría llevar a la suplantación de identidad o a la pérdida de control sobre el acceso al sitio. Esto puede resultar en un impacto significativo en la confianza de los usuarios y en la reputación del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad mediante el envío de enlaces manipulados a usuarios autenticados, que al hacer clic, ejecutan acciones no deseadas en el plugin sin su conocimiento.

Mitigación recomendada

Actualizar el plugin MP Customize Login Page a la versión 1.0 o superior para corregir la vulnerabilidad. Revisar y reforzar las configuraciones de seguridad del sitio, incluyendo la implementación de tokens CSRF en formularios. Monitorizar las solicitudes a la configuración del plugin para detectar actividades sospechosas.

Señales de detección

Señales que pueden indicar un intento de explotación incluyen registros de cambios inesperados en la configuración del plugin y solicitudes HTTP inusuales dirigidas a las páginas de configuración.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin MP Customize Login Page hasta la 1.0. No se han confirmado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

book-a-room-event-calendar

Book a Room Event Calendar <= 1.9 - Cross-Site Request Forgery to Settings Update

MEDIUM PLUGIN

motordesk

MotorDesk <= 1.1.2 - Cross-Site Request Forgery to Settings Update

MEDIUM PLUGIN

blue-captcha

Blue Captcha <= 2.0.1 - Cross-Site Request Forgery via 'blcap_action' Parameter

MEDIUM PLUGIN

bulk-seo-image

Bulk SEO Image <= 1.1 - Cross-Site Request Forgery to Settings Update

MEDIUM PLUGIN

motors-car-dealership-classified-listings

Motors – Car Dealership & Classified Listings Plugin < 1.4.110 - Cross-Site Request Forgery

MEDIUM PLUGIN

wp-easy-pay

WP Easy Pay – Payment and Donation form Builder for Square <= 4.5.0 - Cross-Site Request Forgery

MEDIUM PLUGIN

user-admin-simplifier

User Admin Simplifier <= 3.0.0 - Cross-Site Request Forgery

MEDIUM PLUGIN

optimole-wp

Optimole – Optimize Images | Convert WebP & AVIF | CDN & Lazy Load | Image Optimization <= 4.2.6 - Cross-Site Request Forgery via 'optml_replace_file' AJAX Action

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto