Resumen ejecutivo
La vulnerabilidad CSRF en el plugin Blue Captcha hasta la versión 2.0.1 permite la manipulación de acciones mediante el parámetro 'blcap_action'. Esto puede comprometer la seguridad del sitio y afectar su operativa.
Fuente base de datos: Wordfence Intelligence
Blue Captcha <= 2.0.1 - Cross-Site Request Forgery via 'blcap_action' Parameter (Cross-Site Request Forgery (CSRF))
PLUGIN
MEDIUM
CVE-2026-10552
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
Este fallo se presenta en el plugin Blue Captcha, donde un atacante puede forzar acciones no autorizadas en nombre de un usuario autenticado a través de solicitudes maliciosas. La superficie de ataque se centra en el manejo inadecuado del parámetro 'blcap_action'.
Impacto potencial
El impacto de esta vulnerabilidad puede incluir la ejecución de acciones no deseadas en el sitio, lo que podría llevar a la pérdida de datos o a la alteración de configuraciones críticas. Aunque la severidad se clasifica como media, es fundamental actuar para prevenir posibles abusos.
Vector de explotación
Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas que aprovechan la falta de protección CSRF en el plugin, lo que puede llevar a cambios no autorizados en la configuración del sitio.
Mitigación recomendada
Actualizar el plugin Blue Captcha a la versión 2.0.1 o superior. Implementar medidas de seguridad adicionales, como tokens CSRF en formularios. Revisar y auditar las configuraciones del plugin para asegurar que no se hayan realizado cambios no autorizados.
Señales de detección
Revisar los logs de acceso en busca de solicitudes inusuales que incluyan el parámetro 'blcap_action'. Monitorizar cambios en la configuración del plugin que no hayan sido realizados por usuarios autorizados.
Alcance afectado
Todas las instalaciones que utilicen Blue Captcha en versiones anteriores o iguales a 2.0.1 están en riesgo. No se han confirmado casos en versiones posteriores.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
mp-customize-login-page
MP Customize Login Page <= 1.0 - Cross-Site Request Forgery to Settings Update
MEDIUM
PLUGIN
book-a-room-event-calendar
Book a Room Event Calendar <= 1.9 - Cross-Site Request Forgery to Settings Update
MEDIUM
PLUGIN
motordesk
MotorDesk <= 1.1.2 - Cross-Site Request Forgery to Settings Update
MEDIUM
PLUGIN
bulk-seo-image
Bulk SEO Image <= 1.1 - Cross-Site Request Forgery to Settings Update
MEDIUM
PLUGIN
motors-car-dealership-classified-listings
Motors – Car Dealership & Classified Listings Plugin < 1.4.110 - Cross-Site Request Forgery
MEDIUM
PLUGIN
wp-easy-pay
WP Easy Pay – Payment and Donation form Builder for Square <= 4.5.0 - Cross-Site Request Forgery
MEDIUM
PLUGIN
user-admin-simplifier
User Admin Simplifier <= 3.0.0 - Cross-Site Request Forgery
MEDIUM
PLUGIN
optimole-wp
Optimole – Optimize Images | Convert WebP & AVIF | CDN & Lazy Load | Image Optimization <= 4.2.6 - Cross-Site Request Forgery via 'optml_replace_file' AJAX Action
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto