Plateforme
wordpress
Composant
newsletter-email-subscribe
Corrigé dans
2.5.4
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WordPress "Newsletter Email Subscribe". Cette faille, présente dans les versions allant de 0.0.0 à 2.4, permet à un attaquant non authentifié de modifier les paramètres du plugin en créant une requête malveillante. La mise à jour vers la version 2.5.4 corrige cette vulnérabilité et est fortement recommandée.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant de modifier les paramètres du plugin "Newsletter Email Subscribe" sans l'autorisation de l'administrateur du site. Cela peut inclure la modification de l'adresse e-mail de l'expéditeur, des modèles d'e-mails, des paramètres d'intégration avec d'autres services, et potentiellement d'autres configurations sensibles. Un attaquant pourrait ainsi envoyer des e-mails frauduleux au nom du site, compromettant la réputation et la confiance des utilisateurs. Bien que la vulnérabilité ne permette pas un accès direct au serveur, elle peut être combinée avec d'autres failles pour obtenir un contrôle plus important sur le site WordPress.
Cette vulnérabilité a été publiée le 7 janvier 2026. Il n'y a pas d'indication d'exploitation active à ce jour. Il n'y a pas de Proof of Concept (PoC) public connu. La vulnérabilité est classée comme MODÉRÉE selon le CVSS, ce qui indique une probabilité d'exploitation modérée si un PoC est développé et diffusé.
WordPress websites utilizing the Newsletter Email Subscribe plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as attackers could potentially compromise multiple websites simultaneously.
• wordpress / composer / npm:
grep -r 'nels_settings_page' /var/www/html/wp-content/plugins/newsletter-email-subscribe/• wordpress / composer / npm:
wp plugin list --status=all | grep 'Newsletter Email Subscribe'• wordpress / composer / npm:
wp plugin update --alldisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin "Newsletter Email Subscribe" vers la version 2.5.4 ou supérieure. En attendant la mise à jour, il est possible de limiter l'impact de la vulnérabilité en activant un plugin de sécurité WordPress qui offre une protection CSRF. Ces plugins ajoutent des protections supplémentaires, telles que la validation des tokens CSRF, pour empêcher les requêtes non autorisées. Vérifiez également que tous les utilisateurs disposant de privilèges d'administrateur sont conscients des risques liés aux clics sur des liens suspects et qu'ils évitent de le faire.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14904 décrit une vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin Newsletter Email Subscribe pour WordPress, permettant à un attaquant de modifier les paramètres du plugin sans autorisation.
Oui, si vous utilisez le plugin Newsletter Email Subscribe dans les versions 0.0.0 à 2.4, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin Newsletter Email Subscribe vers la version 2.5.4 ou supérieure. En attendant, utilisez un plugin de sécurité WordPress avec protection CSRF.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de cette vulnérabilité, mais il est important de la corriger rapidement.
Consultez l'avis de sécurité WordPress concernant cette vulnérabilité sur le site web de WordPress.org (lien non disponible car publication future).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.