Vulnerabilidad en plugin DASHBOARD BUILDER para WordPress (CVE-2025-14615)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
14/01/2026
Última modificación:
15/04/2026
Descripción
El plugin de WordPress DASHBOARD BUILDER – plugin para Gráficos y Cuadros es vulnerable a falsificación de petición en sitios cruzados en todas las versiones hasta la 1.5.7, inclusive. Esto se debe a la falta de validación de nonce en el manejador de configuraciones en dashboardbuilder-admin.php. Esto hace posible que atacantes no autenticados modifiquen la consulta SQL almacenada y las credenciales de la base de datos utilizadas por el shortcode [show-dashboardbuilder] a través de una petición falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace. La consulta SQL modificada se ejecuta posteriormente en el front-end cuando se renderiza el shortcode, lo que permite la inyección SQL arbitraria y la exfiltración de datos a través de la salida del gráfico visible públicamente.
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/dashboard-builder/tags/1.5.7/dashboardbuilder-admin.php#L158
- https://plugins.trac.wordpress.org/browser/dashboard-builder/tags/1.5.7/dashboardbuilder.php#L51
- https://plugins.trac.wordpress.org/browser/dashboard-builder/trunk/dashboardbuilder-admin.php#L158
- https://plugins.trac.wordpress.org/browser/dashboard-builder/trunk/dashboardbuilder.php#L51
- https://www.wordfence.com/threat-intel/vulnerabilities/id/106b31ed-d509-4551-a134-02193ab22fe1?source=cve