Plataforma
wordpress
Componente
sticky-action-buttons
Corregido en
1.1.1
El plugin Sticky Action Buttons para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (XSRF) en todas las versiones hasta la 1.1. Esta debilidad se debe a la falta o validación incorrecta de nonce en la función sabsoptionspageformsubmit(). Un atacante podría aprovechar esta falla para modificar la configuración del plugin, comprometiendo potencialmente la funcionalidad del sitio web. La vulnerabilidad fue publicada el 7 de enero de 2026.
Un atacante puede explotar esta vulnerabilidad de XSRF para realizar acciones en nombre de un administrador del sitio web sin su conocimiento. Esto podría incluir la modificación de la configuración del plugin, la adición de código malicioso o la alteración de la funcionalidad del sitio web. El riesgo es particularmente alto si los administradores del sitio web son susceptibles a ataques de ingeniería social o si el sitio web tiene una configuración de seguridad débil. La modificación de la configuración del plugin podría llevar a la exposición de datos sensibles o a la ejecución de código arbitrario en el servidor.
Esta vulnerabilidad se encuentra en un plugin popular de WordPress, lo que aumenta su potencial de explotación. No se han reportado campañas de explotación activas conocidas públicamente a la fecha de publicación. La vulnerabilidad ha sido añadida al catálogo KEV de CISA, lo que indica un riesgo moderado de explotación. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias.
WordPress websites utilizing the Sticky Action Buttons plugin, particularly those with administrative accounts that are susceptible to phishing attacks or social engineering, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'sabs_options_page_form_submit' /var/www/html/wp-content/plugins/sticky-action-buttons/• wordpress / composer / npm:
wp plugin list --status=inactive | grep sticky-action-buttons• wordpress / composer / npm:
wp plugin list | grep sticky-action-buttonsdisclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Sticky Action Buttons a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la restricción del acceso al panel de administración del sitio web y la implementación de una política de contraseñas robusta. Además, considere el uso de un firewall de aplicaciones web (WAF) para filtrar solicitudes maliciosas. Revise los logs del sitio web en busca de actividad sospechosa relacionada con la modificación de la configuración del plugin.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14465 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el plugin Sticky Action Buttons para WordPress, que permite a atacantes modificar la configuración del plugin.
Sí, si está utilizando el plugin Sticky Action Buttons en versiones anteriores a 1.1, es vulnerable a esta vulnerabilidad.
Actualice el plugin Sticky Action Buttons a la última versión disponible. Si no puede actualizar inmediatamente, implemente medidas de mitigación como restringir el acceso al panel de administración.
No se han reportado campañas de explotación activas conocidas públicamente a la fecha de publicación, pero se recomienda monitorear la situación.
Consulte la página web del plugin Sticky Action Buttons o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.