Plataforma
wordpress
Componente
kento-latest-tabs
Corregido en
1.5.1
El plugin Latest Tabs para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en las versiones 1.0.0 hasta la 1.5. Esta debilidad se debe a la falta o validación incorrecta de nonce en el manejador de actualización de la configuración en el archivo admin-page.php. La explotación exitosa permite a un atacante modificar la configuración del plugin, comprometiendo potencialmente la funcionalidad del sitio web.
Un atacante podría aprovechar esta vulnerabilidad CSRF para modificar la configuración del plugin Latest Tabs sin la autorización del administrador del sitio. Esto podría incluir cambiar la apariencia del sitio, redirigir a los usuarios a sitios maliciosos o incluso insertar código malicioso. Dado que el plugin gestiona la visualización de pestañas y contenido, la manipulación de la configuración podría tener un impacto significativo en la experiencia del usuario y la seguridad del sitio. La falta de validación de nonce facilita la creación de solicitudes forjadas que se ejecutan con los privilegios del usuario autenticado, en este caso, el administrador del sitio.
Esta vulnerabilidad ha sido publicada el 7 de enero de 2026. No se ha reportado explotación activa en campañas conocidas. La vulnerabilidad se considera de riesgo medio según el CVSS. No se ha añadido a la lista KEV de CISA al momento de la redacción. La existencia de una vulnerabilidad CSRF en un plugin popular como Latest Tabs subraya la importancia de mantener todos los plugins de WordPress actualizados.
WordPress sites utilizing the Latest Tabs plugin, particularly those with administrative accounts that are frequently targeted by phishing or social engineering attacks, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources could also be affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'admin-page.php' /var/www/html/wp-content/plugins/latest-tabs/• wordpress / composer / npm:
wp plugin list --status=all | grep 'latest-tabs'• wordpress / composer / npm:
wp plugin update latest-tabs --alldisclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Latest Tabs a la versión 1.6 o superior, que corrige la vulnerabilidad CSRF. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al panel de administración del sitio web y educar a los administradores sobre los riesgos de los ataques CSRF. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten modificar la configuración del plugin. Verifique después de la actualización que la configuración del plugin se mantiene intacta y que no hay indicios de acceso no autorizado.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14999 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) que afecta al plugin Latest Tabs para WordPress en versiones 1.0.0 hasta 1.5, permitiendo a atacantes modificar la configuración del plugin.
Si está utilizando el plugin Latest Tabs en WordPress en las versiones 1.0.0 a 1.5, es vulnerable a esta vulnerabilidad CSRF.
Actualice el plugin Latest Tabs a la versión 1.6 o superior para solucionar la vulnerabilidad. Considere implementar medidas de seguridad adicionales como WAF.
Al momento de la redacción, no se ha reportado explotación activa de esta vulnerabilidad en campañas conocidas.
Consulte el sitio web oficial del plugin Latest Tabs o el repositorio de WordPress para obtener la información más reciente sobre la vulnerabilidad y la actualización.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.