Fuente base de datos: Wordfence Intelligence

Bulk SEO Image <= 1.1 - Cross-Site Request Forgery to Settings Update (Cross-Site Request Forgery (CSRF))

PLUGIN MEDIUM CVE-2026-11997

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo CSRF en el plugin Bulk SEO Image, que permite la actualización no autorizada de configuraciones. Esta falla de seguridad, clasificada como de severidad media (CVSS 4.3), puede comprometer la integridad del sitio afectado.

Contexto técnico

El fallo se produce en el plugin Bulk SEO Image en versiones anteriores a la 1.1, permitiendo a un atacante enviar solicitudes maliciosas que alteren la configuración del plugin sin el consentimiento del usuario. La superficie de ataque se centra en la interacción del usuario con formularios web.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en cambios no autorizados en la configuración del plugin, lo que podría afectar la funcionalidad SEO del sitio y potencialmente abrir la puerta a ataques adicionales. Esto puede derivar en pérdidas económicas y de reputación para el negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando enlaces manipulados a usuarios autenticados, que al hacer clic, ejecutan acciones no deseadas en el plugin.

Mitigación recomendada

Actualizar el plugin Bulk SEO Image a la versión 1.1 o superior para corregir la vulnerabilidad. Revisar los registros de actividad para detectar posibles accesos no autorizados. Implementar medidas de seguridad adicionales, como la verificación de nonce en formularios sensibles.

Señales de detección

Señales a observar incluyen cambios inesperados en la configuración del plugin y registros de actividad inusuales que indiquen intentos de explotación.

Alcance afectado

Las versiones del plugin Bulk SEO Image anteriores a la 1.1 están afectadas. No se han confirmado casos en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

mp-customize-login-page

MP Customize Login Page <= 1.0 - Cross-Site Request Forgery to Settings Update

MEDIUM PLUGIN

book-a-room-event-calendar

Book a Room Event Calendar <= 1.9 - Cross-Site Request Forgery to Settings Update

MEDIUM PLUGIN

motordesk

MotorDesk <= 1.1.2 - Cross-Site Request Forgery to Settings Update

MEDIUM PLUGIN

blue-captcha

Blue Captcha <= 2.0.1 - Cross-Site Request Forgery via 'blcap_action' Parameter

MEDIUM PLUGIN

motors-car-dealership-classified-listings

Motors – Car Dealership & Classified Listings Plugin < 1.4.110 - Cross-Site Request Forgery

MEDIUM PLUGIN

wp-easy-pay

WP Easy Pay – Payment and Donation form Builder for Square <= 4.5.0 - Cross-Site Request Forgery

MEDIUM PLUGIN

user-admin-simplifier

User Admin Simplifier <= 3.0.0 - Cross-Site Request Forgery

MEDIUM PLUGIN

optimole-wp

Optimole – Optimize Images | Convert WebP & AVIF | CDN & Lazy Load | Image Optimization <= 4.2.6 - Cross-Site Request Forgery via 'optml_replace_file' AJAX Action

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto