Vulnerabilidad en plugin DK PDF para WordPress (CVE-2025-14793)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
16/01/2026
Última modificación:
16/01/2026
Descripción
El plugin DK PDF – WordPress PDF Generator para WordPress es vulnerable a falsificación de petición del lado del servidor en todas las versiones hasta e incluyendo la 2.3.0 a través de la función 'addContentToMpdf'. Esto hace posible que atacantes autenticados, con nivel de autor o superior, realicen peticiones web a ubicaciones arbitrarias originadas desde la aplicación web y puede ser utilizado para consultar y modificar información de servicios internos.
Impacto
Puntuación base 3.x
5.00
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/dk-pdf/tags/2.3.0/modules/PDF/DocumentBuilder.php#L213
- https://plugins.trac.wordpress.org/browser/dk-pdf/tags/2.3.0/templates/dkpdf-index.php#L134
- https://plugins.trac.wordpress.org/browser/dk-pdf/trunk/modules/Frontend/WordPressIntegration.php?marks=22-25#L22
- https://plugins.trac.wordpress.org/browser/dk-pdf/trunk/modules/PDF/Generator.php?marks=24-56#L24
- https://www.wordfence.com/threat-intel/vulnerabilities/id/b062f72a-542c-4212-af83-4faefbf69bd7?source=cve