Plataforma
wordpress
Componente
secure-copy-content-protection
Corregido en
4.9.3
El plugin Secure Copy Content Protection and Content Locking para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (XSRF). Esta falla permite a atacantes no autenticados exportar información sensible de los usuarios, incluyendo direcciones de correo electrónico, direcciones IP y otros datos personales. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 4.9.2, siendo corregida en la versión 4.9.3.
Un atacante puede explotar esta vulnerabilidad XSRF para engañar a un administrador del sitio web para que ejecute una acción maliciosa, como la exportación de datos sensibles. El atacante podría crear un enlace o una página web maliciosa que, al ser visitada por un administrador autenticado, desencadenaría la exportación de datos. La información exportada, que incluye direcciones de correo electrónico, direcciones físicas, IDs de usuario y otros datos personales, podría ser utilizada para ataques de phishing, robo de identidad o incluso para acceder a información confidencial almacenada en el sitio web. La exposición de esta información compromete la privacidad de los usuarios y la seguridad del sitio web.
Esta vulnerabilidad fue publicada el 12 de diciembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSRF la hace relativamente fácil de explotar. No se encuentra en el KEV de CISA. La falta de validación de nonce facilita la creación de pruebas de concepto (PoC) y su posible uso en ataques dirigidos.
Websites utilizing the Secure Copy Content Protection and Content Locking plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'ays_sccp_results_export_file' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep secure-copy-content-protection• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress plugin directory for updated version 4.9.3 or later. • generic web: Review WordPress access logs for suspicious AJAX requests to 'ayssccpresultsexportfile'.
disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Secure Copy Content Protection and Content Locking a la versión 4.9.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad del sitio web antes de actualizar y probar la nueva versión en un entorno de pruebas. Como medida temporal, se puede implementar una WAF (Web Application Firewall) para bloquear solicitudes XSRF, aunque esto no es una solución completa. Verifique que el plugin no tenga configuraciones que permitan el acceso público a los datos exportados.
Actualizar a la versión 4.9.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14159 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el plugin Secure Copy Content Protection para WordPress que permite la exportación de datos sensibles de usuarios.
Si está utilizando el plugin Secure Copy Content Protection para WordPress en versiones 0.0.0 hasta 4.9.2, es vulnerable a esta vulnerabilidad XSRF.
Actualice el plugin Secure Copy Content Protection a la versión 4.9.3 o superior para solucionar la vulnerabilidad XSRF.
Aunque no se ha reportado explotación activa en campañas conocidas, la naturaleza de XSRF la hace susceptible a ataques.
Consulte el sitio web del plugin Secure Copy Content Protection o el repositorio de WordPress para obtener la información oficial sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.