Plataforma
wordpress
Componente
newsletter-email-subscribe
Corregido en
2.5.4
El plugin Newsletter Email Subscribe para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en versiones hasta la 2.4. Esta debilidad se debe a una validación incorrecta de nonces en la función nelssettingspage. Un atacante podría aprovechar esta falla para modificar la configuración del plugin, comprometiendo la integridad del sitio web. La vulnerabilidad fue publicada el 7 de enero de 2026 y se ha solucionado en la versión 2.5.4.
Un atacante puede explotar esta vulnerabilidad de CSRF para realizar acciones en nombre de un administrador del sitio web sin su conocimiento o consentimiento. Esto podría incluir la modificación de la configuración del plugin, como la dirección de correo electrónico del remitente, la plantilla de correo electrónico o la lista de suscriptores. En el peor de los casos, un atacante podría utilizar esta vulnerabilidad para enviar correos electrónicos masivos no solicitados o para modificar la configuración del sitio web de forma maliciosa. La falta de una validación adecuada de nonces permite que las solicitudes falsas sean aceptadas como legítimas, lo que facilita la explotación.
La vulnerabilidad CVE-2025-14904 se ha hecho pública el 7 de enero de 2026. Actualmente no se dispone de información sobre su explotación activa en campañas dirigidas. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar las actualizaciones de seguridad lo antes posible.
WordPress websites utilizing the Newsletter Email Subscribe plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as attackers could potentially compromise multiple websites simultaneously.
• wordpress / composer / npm:
grep -r 'nels_settings_page' /var/www/html/wp-content/plugins/newsletter-email-subscribe/• wordpress / composer / npm:
wp plugin list --status=all | grep 'Newsletter Email Subscribe'• wordpress / composer / npm:
wp plugin update --alldisclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Newsletter Email Subscribe a la versión 2.5.4 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la página de configuración del plugin a usuarios autenticados y con privilegios administrativos. Además, se pueden utilizar firewalls de aplicaciones web (WAF) para detectar y bloquear solicitudes CSRF maliciosas. Verifique después de la actualización que la configuración del plugin se mantiene intacta y que no hay correos electrónicos sospechosos en la cola de envío.
No se conoce ninguna solución disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14904 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Newsletter Email Subscribe para WordPress, que permite a atacantes modificar la configuración del plugin mediante solicitudes falsas.
Sí, si está utilizando el plugin Newsletter Email Subscribe en versiones anteriores a 2.5.4, es vulnerable a esta vulnerabilidad de CSRF.
Actualice el plugin Newsletter Email Subscribe a la versión 2.5.4 o superior para mitigar el riesgo. Considere medidas adicionales como restringir el acceso a la página de configuración.
Actualmente no se dispone de información sobre la explotación activa de CVE-2025-14904, pero se recomienda aplicar la actualización de seguridad lo antes posible.
Consulte el sitio web del desarrollador del plugin o el repositorio de WordPress para obtener el aviso oficial y las instrucciones de actualización.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.