Plataforma
wordpress
Componente
ays-slider
Corregido en
2.7.1
La vulnerabilidad Cross-Site Request Forgery (CSRF) en el plugin Image Slider by Ays - Responsive Slider and Carousel para WordPress permite a atacantes no autenticados borrar sliders arbitrarios. Esta vulnerabilidad se debe a la falta o incorrecta validación de nonce en la funcionalidad de borrado masivo. Afecta a las versiones desde 0.0.0 hasta la 2.7.0, y se recomienda actualizar a la versión 2.7.1 para solucionar el problema.
Un atacante puede explotar esta vulnerabilidad para realizar acciones no autorizadas en nombre de un administrador de WordPress. Específicamente, pueden forjar una solicitud para borrar sliders, lo que podría resultar en la pérdida de contenido importante del sitio web. El ataque requiere que el atacante pueda engañar a un administrador para que haga clic en un enlace malicioso, lo que implica cierto nivel de ingeniería social. La severidad de este impacto depende de la importancia de los sliders afectados y de la facilidad con la que un atacante pueda comprometer a un administrador.
Esta vulnerabilidad fue publicada el 13 de diciembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace susceptible a ataques automatizados. La baja puntuación CVSS (4.3) indica una probabilidad de explotación relativamente baja, pero no la elimina. Es importante implementar las mitigaciones recomendadas para reducir el riesgo.
WordPress websites utilizing the Image Slider by Ays plugin, particularly those with multiple administrators or those that frequently share links containing administrative actions. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as an attacker could potentially exploit the vulnerability on one site to impact others.
• wordpress / composer / npm:
grep -r 'ays-responsive-slider-and-carousel/includes/functions.php' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep 'Image Slider by Ays'• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress admin activity logs for suspicious slider deletion events. • generic web: Monitor access logs for requests containing suspicious parameters related to slider deletion.
disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Image Slider by Ays - Responsive Slider and Carousel a la versión 2.7.1 o superior, que corrige la vulnerabilidad. Como medida temporal, se puede implementar una política de seguridad de contenido (CSP) para mitigar el riesgo de ataques CSRF. Además, se recomienda implementar una autenticación de dos factores (2FA) para las cuentas de administrador, lo que dificultaría que un atacante obtenga acceso no autorizado incluso si logra engañar a un administrador para que realice una acción maliciosa. Verifique después de la actualización que la funcionalidad de borrado masivo requiere autenticación y validación de nonce.
Actualizar a la versión 2.7.1, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14454 es una vulnerabilidad Cross-Site Request Forgery (CSRF) en el plugin Image Slider by Ays para WordPress que permite borrar sliders arbitrarios.
Sí, si está utilizando el plugin Image Slider by Ays en versiones 0.0.0 hasta 2.7.0, es vulnerable a esta vulnerabilidad.
Actualice el plugin Image Slider by Ays a la versión 2.7.1 o superior. Implemente una política de seguridad de contenido (CSP) como medida temporal.
No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace susceptible a ataques automatizados.
Consulte el sitio web del plugin Image Slider by Ays o el repositorio de WordPress para obtener información oficial sobre la vulnerabilidad y la actualización.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.