Vulnerabilidad en Broken Link Notifier para WordPress (CVE-2025-6851)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
11/07/2025
Última modificación:
17/07/2025
Descripción
El complemento Broken Link Notifier para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta la 1.3.0 incluida, a través de la función ajax_blinks(), que en última instancia invoca la función check_url_status_code(). Esto permite a atacantes no autenticados realizar solicitudes web a ubicaciones arbitrarias desde la aplicación web y puede utilizarse para consultar y modificar información de servicios internos.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:pluginrx:broken_link_notifier:*:*:*:*:*:wordpress:*:* | 1.3.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página