Plataforma
wordpress
Componente
afiliados-de-amazon-lite
Corregido en
1.0.1
El plugin Amazon affiliate lite para WordPress es vulnerable a Cross-Site Request Forgery (XSRF). Esta vulnerabilidad se debe a la falta de validación correcta de nonce en la función 'ADALsettingspage'. Un atacante podría aprovechar esta falla para modificar la configuración del plugin, comprometiendo potencialmente la funcionalidad del sitio web. La vulnerabilidad afecta a todas las versiones hasta la 1.0.0. Se recomienda actualizar el plugin a la última versión disponible o implementar medidas de mitigación.
Un atacante podría explotar esta vulnerabilidad para realizar acciones no autorizadas en un sitio WordPress que utilice el plugin Amazon affiliate lite, siempre y cuando pueda engañar a un administrador del sitio para que realice una acción específica, como hacer clic en un enlace malicioso. Esto podría incluir la modificación de la configuración del plugin, la inserción de código malicioso o la redirección de usuarios a sitios web no deseados. El impacto potencial es la alteración de la funcionalidad del sitio web, la pérdida de datos o el compromiso de la seguridad del sitio. La falta de validación de nonce facilita la ejecución de ataques XSRF, permitiendo a un atacante simular solicitudes legítimas en nombre del administrador.
La vulnerabilidad CVE-2025-14734 fue publicada el 20 de diciembre de 2025. No se ha reportado explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de engañar a un administrador del sitio para que realice una acción específica.
WordPress websites utilizing the Amazon affiliate lite Plugin, particularly those with shared hosting environments or lacking robust administrator training, are at increased risk. Sites with less frequent security audits and outdated plugin versions are also more vulnerable.
• wordpress / composer / npm:
grep -r 'ADAL_settings_page' /var/www/html/wp-content/plugins/amazon-affiliate-lite/• wordpress / composer / npm:
wp plugin list --status=all | grep 'amazon-affiliate-lite'• wordpress / composer / npm:
wp plugin list --status=active | grep 'amazon-affiliate-lite'disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Amazon affiliate lite a la última versión disponible, que debería incluir la corrección de la vulnerabilidad XSRF. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la página de configuración del plugin a usuarios autorizados y utilizar un firewall de aplicaciones web (WAF) para filtrar solicitudes maliciosas. Además, se puede implementar una validación de nonce más robusta en la función 'ADALsettingspage' como solución temporal. Después de la actualización, confirme que la validación de nonce funciona correctamente revisando el código fuente del plugin.
No hay parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14734 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el plugin Amazon affiliate lite para WordPress, que permite a atacantes modificar la configuración del plugin mediante solicitudes forjadas.
Sí, si está utilizando el plugin Amazon affiliate lite para WordPress en la versión 1.0.0 o anterior, es vulnerable a esta vulnerabilidad.
La solución es actualizar el plugin Amazon affiliate lite a la última versión disponible, que incluye la corrección de la vulnerabilidad XSRF.
Hasta la fecha, no se ha reportado explotación activa de esta vulnerabilidad en campañas conocidas.
Consulte el sitio web del plugin Amazon affiliate lite o el repositorio de WordPress para obtener la información más reciente y las actualizaciones de seguridad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.