Plataforma
wordpress
Componente
coding-blocks
Corregido en
1.1.1
La vulnerabilidad CVE-2025-14158 afecta al plugin Coding Blocks para WordPress, permitiendo ataques de Cross-Site Request Forgery (XSRF). Esta falla se debe a la falta de validación de nonce en la funcionalidad de actualización de la configuración del plugin. Las versiones afectadas son desde la 0.0.0 hasta la 1.1.0. Se recomienda actualizar el plugin a la última versión disponible o implementar medidas de mitigación.
Un atacante puede explotar esta vulnerabilidad para modificar la configuración del plugin Coding Blocks sin la autorización del administrador del sitio. Esto podría incluir la alteración de la configuración del tema, la inyección de código malicioso o la modificación de cualquier otra opción configurable dentro del plugin. El impacto potencial es significativo, ya que un atacante podría comprometer la apariencia y el funcionamiento del sitio web, e incluso obtener acceso a información sensible si el plugin interactúa con otros sistemas. La falta de validación de nonce facilita la creación de solicitudes forjadas que se ejecutan con los privilegios del usuario autenticado, en este caso, el administrador del sitio.
Esta vulnerabilidad fue publicada el 12 de diciembre de 2025. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de los ataques XSRF los hace relativamente fáciles de ejecutar. La baja complejidad de la explotación y la amplia base de usuarios de WordPress aumentan el riesgo de que sea explotada en el futuro. Se recomienda monitorear los registros del servidor y las alertas de seguridad para detectar cualquier actividad sospechosa.
WordPress websites utilizing the Coding Blocks plugin, particularly those with administrators who frequently click on links or interact with external content, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially vulnerable, as an attacker could exploit the vulnerability on one site to impact others.
• wordpress / composer / npm:
grep -r 'coding_blocks_settings_update' /var/www/html/wp-content/plugins/coding-blocks/• wordpress / composer / npm:
wp plugin list --status=active | grep coding-blocks• generic web: Inspect HTTP requests to the Coding Blocks settings update endpoint for the absence of a CSRF token or nonce.
disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Coding Blocks a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la funcionalidad de actualización de la configuración del plugin a través de un firewall de aplicaciones web (WAF) o mediante reglas de proxy que bloqueen solicitudes sospechosas. Además, se recomienda educar a los administradores del sitio sobre los riesgos de los ataques XSRF y la importancia de no hacer clic en enlaces sospechosos. Después de la actualización, verifique que la funcionalidad de actualización de la configuración del plugin requiera ahora la validación de nonce.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14158 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el plugin Coding Blocks para WordPress, que permite a atacantes modificar la configuración del plugin mediante solicitudes forjadas.
Sí, si está utilizando Coding Blocks para WordPress en versiones 0.0.0 hasta 1.1.0, es vulnerable a esta vulnerabilidad XSRF.
La solución es actualizar el plugin Coding Blocks a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si no puede actualizar, aplique mitigaciones como un WAF.
Aunque no se ha reportado explotación activa, la naturaleza de XSRF hace que sea un riesgo potencial y se recomienda monitorear.
Consulte el sitio web oficial de Coding Blocks o el repositorio del plugin en WordPress.org para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.