Plataforma
wordpress
Componente
last-email-address-validator
Corregido en
1.7.2
La vulnerabilidad CVE-2025-14853 afecta al plugin LEAV Last Email Address Validator para WordPress, específicamente en versiones anteriores o iguales a 1.7.1. Esta vulnerabilidad de Cross-Site Request Forgery (XSRF) permite a atacantes no autenticados modificar la configuración del plugin. La falta de validación correcta de nonce en la función displaysettingspage es la causa principal. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación para proteger su sitio WordPress.
Un atacante puede explotar esta vulnerabilidad XSRF para modificar la configuración del plugin LEAV Last Email Address Validator sin la necesidad de autenticación. Esto podría incluir la alteración de la forma en que se manejan las direcciones de correo electrónico, la configuración de notificaciones o cualquier otra opción configurable dentro del plugin. El impacto potencial es la manipulación de datos sensibles relacionados con las direcciones de correo electrónico de los usuarios, lo que podría llevar a ataques de phishing dirigidos o incluso a la toma de control de la funcionalidad del plugin. La facilidad de explotación, al no requerir autenticación, amplía el riesgo a cualquier usuario que visite un sitio web vulnerable y sea engañado para realizar una acción maliciosa.
La vulnerabilidad CVE-2025-14853 fue publicada el 16 de enero de 2026. No se ha reportado explotación activa en campañas conocidas al momento de la publicación. La probabilidad de explotación se considera media debido a la naturaleza de XSRF y la disponibilidad potencial de exploits prefabricados. Se recomienda monitorear activamente los registros del servidor y el plugin en busca de actividad sospechosa.
WordPress sites utilizing the LEAV Last Email Address Validator plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources could also be affected if one site is compromised.
• wordpress / composer / npm:
grep -r 'display_settings_page' /var/www/html/wp-content/plugins/leav-last-email-address-validator/• wordpress / composer / npm:
wp plugin list --status=inactive | grep leav-last-email-address-validator• wordpress / composer / npm:
wp plugin update --alldisclosure
Estado del Exploit
EPSS
0.01% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-14853 es actualizar el plugin LEAV Last Email Address Validator a la última versión disponible, que incluye la corrección de la vulnerabilidad XSRF. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la restricción del acceso a la página de configuración del plugin a usuarios autenticados con roles administrativos. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para detectar y bloquear solicitudes XSRF sospechosas dirigidas a la función displaysettingspage. Verifique que la última versión del plugin esté correctamente instalada y que la validación de nonce esté funcionando como se espera.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14853 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en el plugin LEAV Last Email Address Validator para WordPress, que permite a atacantes modificar la configuración del plugin sin autenticación.
Sí, si está utilizando el plugin LEAV Last Email Address Validator en versiones anteriores o iguales a 1.7.1, es vulnerable a esta vulnerabilidad XSRF.
La solución es actualizar el plugin LEAV Last Email Address Validator a la última versión disponible, que incluye la corrección de la vulnerabilidad XSRF.
Al momento de la publicación, no se ha reportado explotación activa en campañas conocidas, pero se recomienda monitorear activamente.
Consulte el sitio web oficial del plugin o el repositorio de WordPress para obtener la información más reciente y las actualizaciones de seguridad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.