Vulnerabilidad en PluXml (CVE-2025-70129)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

10/03/2026

Última modificación:

07/04/2026

Descripción

Si la funcionalidad anti correo no deseado-captcha en las versiones 5.8.22 y anteriores de PluXml está habilitada, se genera un desafío captcha con un formato que puede ser reconocido automáticamente para los artículos, de tal manera que un script automatizado es capaz de resolver este mecanismo anti correo no deseado trivialmente y publicar comentarios de correo no deseado. Los detalles del desafío captcha están expuestos dentro del cuerpo del documento de los artículos con las funcionalidades de comentarios y anti correo no deseado-captcha habilitadas, incluyendo &#39;capcha-letter&#39;, &#39;capcha-word&#39; y &#39;capcha-token&#39; que pueden ser utilizados para construir una solicitud POST válida para publicar un comentario. Como tal, los atacantes pueden inundar los artículos con comentarios de correo no deseado automatizados, especialmente si no hay otras defensas web disponibles.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno