Plataforma
wordpress
Componente
accelerated-mobile-pages
Corregido en
1.2.0
La vulnerabilidad CVE-2025-14468 afecta al plugin AMP for WP – Accelerated Mobile Pages para WordPress, permitiendo ataques de Cross-Site Request Forgery (XSRF). Esta falla se debe a una lógica de verificación de nonce invertida en el manejador AJAX ampthemeajaxcomments, lo que permite a atacantes enviar comentarios en nombre de usuarios autenticados. Las versiones afectadas son desde 1.0.0 hasta la 1.1.9. La solución es actualizar a la versión 1.1.10.
Un atacante puede explotar esta vulnerabilidad para enviar comentarios maliciosos en nombre de usuarios legítimos de WordPress que hayan iniciado sesión y tengan el modo de plantilla del plugin habilitado. Esto podría resultar en la propagación de spam, la suplantación de identidad o incluso la ejecución de código malicioso si los comentarios contienen scripts. El impacto se amplifica si el sitio web tiene una gran base de usuarios activos, ya que un solo ataque XSRF podría afectar a múltiples cuentas. La vulnerabilidad se aprovecha engañando al usuario para que realice una acción, como hacer clic en un enlace malicioso, que envía una solicitud forjada al servidor.
Esta vulnerabilidad fue publicada el 7 de enero de 2026. No se ha reportado explotación activa en la naturaleza, pero la naturaleza de XSRF hace que sea relativamente fácil de explotar una vez que se conoce la vulnerabilidad. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Websites using the AMP for WP plugin, particularly those with active comment sections and a significant number of logged-in users, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially vulnerable, as a compromise on one site could lead to attacks targeting others.
• wordpress / composer / npm:
grep -r 'amp_theme_ajaxcomments' /var/www/html/wp-content/plugins/amp-wp/• wordpress / composer / npm:
wp plugin list --status=active | grep 'amp-wp'• wordpress / composer / npm:
wp plugin update amp-wp --version=1.1.10• wordpress / composer / npm:
wp plugin status amp-wp• wordpress / composer / npm:
wp plugin list --all | grep 'AMP for WP'disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin AMP for WP – Accelerated Mobile Pages a la versión 1.1.10 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente el modo de plantilla del plugin. Como medida adicional, implementar una validación de nonce más robusta en el código del plugin puede ayudar a prevenir futuros ataques XSRF. Monitorear los logs del servidor en busca de solicitudes AJAX sospechosas con nonces inválidos o ausentes también puede ayudar a detectar y prevenir ataques.
Actualizar a la versión 1.1.10, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14468 es una vulnerabilidad XSRF en el plugin AMP for WP que permite a atacantes enviar comentarios en nombre de usuarios autenticados. Afecta versiones hasta 1.1.9.
Si está utilizando AMP for WP en versiones 1.0.0 a 1.1.9, es vulnerable. Verifique la versión del plugin en su sitio WordPress.
Actualice el plugin AMP for WP a la versión 1.1.10 o superior. Si no puede actualizar, desactive temporalmente el modo de plantilla.
No se ha reportado explotación activa, pero la naturaleza de XSRF hace que sea susceptible a ataques.
Consulte el sitio web oficial de AMP for WP o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.