Plataforma
wordpress
Componente
ns-ie-compatibility-fixer
Corregido en
2.1.6
La vulnerabilidad CVE-2025-14845 afecta al plugin NS IE Compatibility Fixer para WordPress, permitiendo ataques de Cross-Site Request Forgery (CSRF). Esta falla se debe a la falta de validación de nonce en la funcionalidad de actualización de la configuración, lo que facilita la modificación de la configuración del plugin por parte de atacantes no autenticados. Las versiones afectadas son desde la 0.0.0 hasta la 2.1.5. Se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad CSRF para modificar la configuración del plugin NS IE Compatibility Fixer sin necesidad de autenticación. Esto podría incluir cambios en la configuración de compatibilidad del navegador, redirecciones maliciosas o la inyección de código malicioso en el sitio web. El impacto potencial es significativo, ya que un atacante podría comprometer la funcionalidad del sitio web y potencialmente obtener acceso a información sensible o realizar acciones en nombre del administrador. La falta de validación de nonce es un error común que puede llevar a la manipulación de la configuración del plugin, similar a otras vulnerabilidades CSRF encontradas en plugins de WordPress.
La vulnerabilidad CVE-2025-14845 fue publicada el 2026-01-07. No se ha reportado su inclusión en el KEV de CISA ni se conocen públicamente pruebas de concepto (PoC) activas. Sin embargo, la naturaleza de la vulnerabilidad CSRF la hace susceptible a explotación, especialmente en sitios web con una gran cantidad de tráfico y usuarios. Se recomienda monitorear los registros del sitio web en busca de actividad sospechosa.
WordPress websites utilizing the NS IE Compatibility Fixer plugin, particularly those with shared hosting environments or where administrative privileges are not strictly controlled, are at increased risk. Sites with legacy WordPress configurations or those lacking robust security practices are also more vulnerable.
• wordpress / composer / npm:
grep -r 'settings_update' /var/www/html/wp-content/plugins/ns-ie-compatibility-fixer/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'ns-ie-compatibility-fixer'• generic web: Check for unusual plugin settings modifications in the WordPress admin panel. • generic web: Monitor WordPress access logs for suspicious requests targeting plugin settings endpoints.
disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-14845 es actualizar el plugin NS IE Compatibility Fixer a la última versión disponible, que incluye la validación de nonce necesaria. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la restricción del acceso a la configuración del plugin a través de un firewall de aplicaciones web (WAF) o la implementación de reglas de proxy que bloqueen solicitudes sospechosas. Además, se debe revisar la configuración del sitio web para asegurarse de que no haya otras vulnerabilidades que puedan ser explotadas en combinación con esta vulnerabilidad. Después de la actualización, confirme que la funcionalidad de actualización de la configuración requiere autenticación y valida los nonce correctamente.
No hay un parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14845 es una vulnerabilidad CSRF en el plugin NS IE Compatibility Fixer para WordPress que permite a atacantes modificar la configuración del plugin sin autenticación.
Si está utilizando el plugin NS IE Compatibility Fixer en versiones 0.0.0 hasta 2.1.5, es vulnerable a esta vulnerabilidad.
Actualice el plugin NS IE Compatibility Fixer a la última versión disponible para corregir la vulnerabilidad.
No se han reportado explotaciones activas conocidas, pero la naturaleza de la vulnerabilidad CSRF la hace susceptible a ataques.
Consulte el sitio web del plugin NS IE Compatibility Fixer o el repositorio de WordPress para obtener la información más reciente sobre la vulnerabilidad y la solución.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.