Plataforma
wordpress
Componente
user-registration
Corregido en
4.4.9
El plugin User Registration & Membership para WordPress, específicamente el componente de Formulario de Registro Personalizado, Login Personalizado, Perfil de Usuario y Restricción de Contenido & Membresía, presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF). Esta falla permite a atacantes no autenticados eliminar publicaciones arbitrarias en el sitio web. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 4.4.8, y se ha solucionado en la versión 4.4.9.
Un atacante puede explotar esta vulnerabilidad CSRF engañando a un administrador del sitio web para que realice una acción maliciosa, como eliminar una publicación. Esto se logra mediante la creación de una solicitud forjada que el administrador, sin saberlo, ejecuta. La eliminación de publicaciones puede resultar en la pérdida de contenido importante, interrupción del sitio web y daño a la reputación. La falta de validación adecuada de nonce en la función 'processrowactions' con la acción 'delete' es la causa raíz de esta vulnerabilidad. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser visitado por un administrador, elimine una publicación clave del sitio.
Esta vulnerabilidad ha sido publicada el 2026-01-10. No se ha reportado explotación activa en entornos reales, pero la naturaleza de CSRF la hace potencialmente explotable. La falta de nonce validation es un patrón común en vulnerabilidades CSRF, lo que aumenta la probabilidad de que se desarrolle un proof-of-concept público. Se recomienda monitorear fuentes de información sobre seguridad para detectar posibles actualizaciones sobre esta vulnerabilidad.
WordPress websites utilizing the User Registration & Membership plugin, particularly those with administrative accounts that are frequently used and potentially susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'process_row_actions' /var/www/html/wp-content/plugins/user-registration-membership/• wordpress / composer / npm:
wp plugin list --status=all | grep 'user-registration-membership'• wordpress / composer / npm:
wp plugin update user-registration-membershipdisclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin User Registration & Membership a la versión 4.4.9 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una política de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts, reduciendo el riesgo de ataques CSRF. Además, monitorear los registros del sitio web en busca de solicitudes de eliminación sospechosas puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme que la funcionalidad de eliminación de publicaciones requiere autenticación y validación de nonce.
Actualizar a la versión 4.4.9, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14976 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin User Registration & Membership para WordPress que permite a atacantes eliminar publicaciones arbitrarias.
Sí, si está utilizando el plugin User Registration & Membership en una versión anterior a 4.4.9, está afectado por esta vulnerabilidad.
Actualice el plugin User Registration & Membership a la versión 4.4.9 o superior para solucionar esta vulnerabilidad.
Aunque no se ha reportado explotación activa, la naturaleza de CSRF la hace potencialmente explotable y se recomienda tomar medidas preventivas.
Consulte la página oficial del plugin User Registration & Membership o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.