Plateforme
wordpress
Composant
ns-ie-compatibility-fixer
Corrigé dans
2.1.6
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin NS IE Compatibility Fixer pour WordPress. Cette faille, présente dans toutes les versions jusqu'à 2.1.5, est due à l'absence de validation de nonce lors de la mise à jour des paramètres. Elle permet à un attaquant non authentifié de modifier les paramètres du plugin s'il parvient à inciter un administrateur à effectuer une action.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant de modifier les paramètres du plugin NS IE Compatibility Fixer sans authentification. Cela peut entraîner des modifications inattendues du comportement du site web, des configurations incorrectes, voire des compromissions plus larges si les paramètres du plugin affectent d'autres aspects du site. Un attaquant pourrait, par exemple, modifier les règles de compatibilité, ce qui pourrait altérer l'affichage ou le fonctionnement de certaines pages web pour les utilisateurs. La surface d'attaque est limitée aux fonctionnalités contrôlées par le plugin, mais l'impact peut être significatif si ces fonctionnalités sont critiques pour le site.
Cette vulnérabilité est actuellement publique. Il n'y a pas d'indications d'exploitation active à grande échelle, mais la présence d'une vulnérabilité CSRF dans un plugin WordPress populaire augmente le risque d'attaques ciblées. La publication de preuves de concept (PoC) pourrait faciliter l'exploitation par des acteurs malveillants. Le CVE a été publié le 2026-01-07.
WordPress websites utilizing the NS IE Compatibility Fixer plugin, particularly those with shared hosting environments or where administrative privileges are not strictly controlled, are at increased risk. Sites with legacy WordPress configurations or those lacking robust security practices are also more vulnerable.
• wordpress / composer / npm:
grep -r 'settings_update' /var/www/html/wp-content/plugins/ns-ie-compatibility-fixer/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'ns-ie-compatibility-fixer'• generic web: Check for unusual plugin settings modifications in the WordPress admin panel. • generic web: Monitor WordPress access logs for suspicious requests targeting plugin settings endpoints.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin NS IE Compatibility Fixer vers la dernière version corrigée, dès qu'elle est disponible. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des utilisateurs ayant accès aux paramètres du plugin. L'implémentation de mesures de sécurité supplémentaires, telles que la validation des entrées utilisateur et l'utilisation de tokens CSRF, peut également aider à atténuer le risque. Il est également recommandé de surveiller les journaux d'activité du plugin pour détecter toute tentative de modification non autorisée.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14845 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin NS IE Compatibility Fixer pour WordPress, permettant à un attaquant de modifier les paramètres du plugin sans authentification.
Oui, si vous utilisez le plugin NS IE Compatibility Fixer dans une version comprise entre 0.0.0 et 2.1.5, vous êtes potentiellement affecté(e) par cette vulnérabilité.
La solution recommandée est de mettre à jour le plugin NS IE Compatibility Fixer vers la dernière version disponible, qui corrige cette vulnérabilité.
Bien qu'il n'y ait pas de preuves d'exploitation active à grande échelle, la vulnérabilité est publique et pourrait être exploitée par des acteurs malveillants.
Consultez le site web du plugin ou le dépôt WordPress pour obtenir les dernières informations et l'avis officiel concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.