Plataforma
wordpress
Componente
mdirector-newsletter
Corregido en
4.5.9
El plugin MDirector Newsletter para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (XSRF) en todas las versiones hasta la 4.5.8. Esta debilidad se debe a la falta de verificación de nonce en la función mdirectorNewsletterSave, permitiendo a atacantes no autenticados modificar la configuración del plugin. La vulnerabilidad afecta a sitios WordPress que utilizan esta versión del plugin y podría comprometer la integridad de la configuración del mismo.
Un atacante podría explotar esta vulnerabilidad para modificar la configuración del plugin MDirector Newsletter sin la autorización del administrador del sitio. Esto podría incluir la modificación de la lista de suscriptores, la configuración de los correos electrónicos masivos o incluso la inserción de código malicioso en los correos electrónicos enviados. El impacto potencial es significativo, ya que un atacante podría utilizar el plugin para enviar spam, phishing o incluso comprometer la seguridad del sitio web. La falta de nonce verification facilita la creación de solicitudes forjadas que, si un administrador las ejecuta, comprometerán la configuración del plugin.
Esta vulnerabilidad ha sido publicada el 2026-02-14. No se han reportado activamente campañas de explotación a la fecha. La vulnerabilidad se clasifica como de severidad media (CVSS 4.3). No se encuentra en el KEV de CISA. La ausencia de un PoC público reduce el riesgo inmediato, pero la naturaleza de XSRF implica que un exploit podría desarrollarse relativamente fácilmente.
WordPress sites utilizing the MDirector Newsletter plugin, particularly those with administrator accounts that frequently click on links or interact with external websites, are at risk. Shared hosting environments where multiple websites share the same server resources are also more vulnerable, as an attacker could potentially exploit the vulnerability on one site to gain access to others.
• wordpress / composer / npm:
grep -r 'mdirectorNewsletterSave' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep mdirector• wordpress / composer / npm:
wp plugin update mdirector-newsletterdisclosure
Estado del Exploit
EPSS
0.03% (6% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin MDirector Newsletter a la versión 4.5.9 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas medidas incluyen restringir el acceso a la función mdirectorNewsletterSave a través de un firewall de aplicaciones web (WAF) o un proxy, implementando reglas que bloqueen solicitudes sospechosas. También se puede considerar la implementación de una capa adicional de autenticación para las acciones críticas dentro del plugin. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que la función mdirectorNewsletterSave ahora incluye la verificación de nonce.
Actualizar a la versión 4.5.9, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14852 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el plugin MDirector Newsletter para WordPress, que permite a atacantes modificar la configuración del plugin mediante solicitudes forjadas.
Si está utilizando el plugin MDirector Newsletter para WordPress en una versión anterior a 4.5.9, es vulnerable a esta vulnerabilidad.
Actualice el plugin MDirector Newsletter a la versión 4.5.9 o superior para corregir esta vulnerabilidad. Si la actualización no es posible, implemente medidas de mitigación temporales.
A la fecha, no se han reportado activamente campañas de explotación, pero la naturaleza de XSRF implica que un exploit podría desarrollarse.
Consulte la página web del desarrollador del plugin MDirector Newsletter o el repositorio oficial de WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.