CVE-2025-14164: XSRF en Quran Gateway para WordPress

La vulnerabilidad XSRF permite a un atacante, sin necesidad de autenticación, modificar la configuración de visualización del plugin Quran Gateway. Esto podría incluir cambios en la apariencia del sitio web, la disposición de los elementos o incluso la inclusión de contenido malicioso. El impacto directo depende de las opciones configurables del plugin, pero podría afectar la integridad visual del sitio y potencialmente comprometer la experiencia del usuario. Un atacante podría, por ejemplo, alterar la configuración para redirigir a los usuarios a sitios web maliciosos o para mostrar información falsa.

WordPress websites utilizing the Quran Gateway plugin, particularly those with multiple administrators or shared hosting environments, are at increased risk. Sites with outdated plugin versions and inadequate security practices are especially vulnerable.

• wordpress / composer / npm:

grep -r "quran_gateway_options" /var/www/html/wp-content/plugins/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=quran_gateway_options | grep -i "csrf token"

1. 2025-12-20Disclosure

   disclosure

1. Reservado2025-12-05
2. Publicada2025-12-20
3. Modificada2026-04-08
4. EPSS actualizado2026-03-23

La mitigación principal para CVE-2025-14164 es actualizar el plugin Quran Gateway a la última versión disponible, que incluye la corrección de la vulnerabilidad XSRF. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la restricción del acceso administrativo a través de una red segura y la implementación de políticas de seguridad de contraseñas robustas. Además, se puede considerar el uso de un firewall de aplicaciones web (WAF) para filtrar solicitudes maliciosas y bloquear ataques XSRF. Verifique después de la actualización que la validación de nonce esté correctamente implementada en la función qurangatewayoptions.