Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Broken Link Notifier para WordPress (CVE-2025-6851)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
11/07/2025
Última modificación:
17/07/2025

Descripción

El complemento Broken Link Notifier para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta la 1.3.0 incluida, a través de la función ajax_blinks(), que en última instancia invoca la función check_url_status_code(). Esto permite a atacantes no autenticados realizar solicitudes web a ubicaciones arbitrarias desde la aplicación web y puede utilizarse para consultar y modificar información de servicios internos.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:pluginrx:broken_link_notifier:*:*:*:*:*:wordpress:*:* 1.3.1 (excluyendo)