Plataforma
wordpress
Componente
doubledome-resource-link-library
Corregido en
1.5.1
El plugin Resource Library for Logged In Users para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en las versiones 1.0.0 hasta la 1.5 inclusive. Esta falla se debe a la falta de validación de nonce en múltiples funciones administrativas. Esto permite a atacantes no autenticados ejecutar acciones no autorizadas, como crear, editar y eliminar recursos y categorías, mediante una solicitud forjada si logran engañar a un administrador del sitio para que realice una acción.
Un atacante puede explotar esta vulnerabilidad para realizar acciones administrativas en el sitio WordPress sin la necesidad de autenticarse. Esto incluye la creación de recursos maliciosos, la modificación de contenido existente y la eliminación de datos importantes. El atacante podría, por ejemplo, crear una página de inicio de sesión falsa que redirija a un sitio controlado por él, o modificar la configuración del sitio para redirigir a los usuarios a sitios maliciosos. La severidad de este impacto es alta, ya que compromete la integridad y disponibilidad del sitio web y sus datos.
Esta vulnerabilidad ha sido publicada el 2025-12-12. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF hace que sea relativamente fácil de explotar. Es importante aplicar las mitigaciones lo antes posible para evitar posibles ataques. No se encuentra en el KEV de CISA.
WordPress sites utilizing the Resource Library for Logged In Users plugin, particularly those with shared hosting environments or legacy configurations where administrators may be more susceptible to social engineering attacks, are at risk. Sites where administrators routinely click links from untrusted sources are also more vulnerable.
• wordpress / composer / npm:
grep -r 'wp_nonce_field' /var/www/html/wp-content/plugins/resource-library-for-logged-in-users/• generic web:
curl -I https://example.com/wp-admin/admin-post.php?action=resource_library_create_resource&resource_name=TestResource&resource_content=TestContent | grep -i 'referer'disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Resource Library for Logged In Users a la versión 1.6 o superior, que corrige la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la restricción del acceso administrativo a usuarios confiables y la implementación de políticas de seguridad de contraseñas robustas. Además, se puede considerar el uso de un firewall de aplicaciones web (WAF) que pueda detectar y bloquear solicitudes CSRF. Verifique después de la actualización que las funciones administrativas requieran autenticación y validación de nonce.
Actualizar a la versión 1.6, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14354 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Resource Library for Logged In Users para WordPress, permitiendo a atacantes realizar acciones administrativas sin autenticación.
Si está utilizando el plugin Resource Library for Logged In Users en las versiones 1.0.0 hasta la 1.5 inclusive, es vulnerable a esta vulnerabilidad.
Actualice el plugin Resource Library for Logged In Users a la versión 1.6 o superior para corregir la vulnerabilidad.
Aunque no se ha reportado explotación activa, la naturaleza de CSRF hace que sea fácil de explotar, por lo que se recomienda aplicar la mitigación lo antes posible.
Consulte el sitio web del plugin o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.