プラットフォーム
wordpress
コンポーネント
ns-ie-compatibility-fixer
修正版
2.1.6
CVE-2025-14845は、WordPressプラグインNS IE Compatibility Fixerにおけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。この脆弱性は、攻撃者が正規のユーザーの権限を装って不正なリクエストを送信することを可能にし、プラグインの設定を改ざんする可能性があります。影響を受けるバージョンは0.0.0から2.1.5までです。プラグインのアップデートまたは設定変更の保護策を講じることで、この脆弱性を軽減できます。
このCSRF脆弱性を悪用されると、攻撃者は管理者権限を持つユーザーを騙し、NS IE Compatibility Fixerプラグインの設定を不正に変更できます。これにより、ウェブサイトの表示や動作に予期せぬ影響が生じる可能性があります。例えば、プラグインの設定を改ざんすることで、悪意のあるスクリプトを挿入したり、ウェブサイトのセキュリティ設定を弱体化させたりすることが考えられます。攻撃者は、巧妙に偽装されたリンクをクリックさせることで、管理者権限を持つユーザーを騙すことが可能です。
この脆弱性は、2026年1月7日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CSRFは比較的容易に悪用可能な脆弱性であるため、注意が必要です。CISAのKEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。
WordPress websites utilizing the NS IE Compatibility Fixer plugin, particularly those with shared hosting environments or where administrative privileges are not strictly controlled, are at increased risk. Sites with legacy WordPress configurations or those lacking robust security practices are also more vulnerable.
• wordpress / composer / npm:
grep -r 'settings_update' /var/www/html/wp-content/plugins/ns-ie-compatibility-fixer/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'ns-ie-compatibility-fixer'• generic web: Check for unusual plugin settings modifications in the WordPress admin panel. • generic web: Monitor WordPress access logs for suspicious requests targeting plugin settings endpoints.
disclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずNS IE Compatibility Fixerプラグインを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、WordPressのセキュリティプラグインを利用して、CSRF対策を強化することも有効です。また、プラグインの設定変更時に、管理者への確認を必須とするなどの対策を講じることで、不正な設定変更を防ぐことができます。設定変更の際には、常に正規の管理画面を使用し、不審なリンクはクリックしないように注意してください。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-14845は、WordPressプラグインNS IE Compatibility Fixerのバージョン0.0.0~2.1.5において、クロスサイトリクエストフォージェリ(CSRF)の脆弱性です。攻撃者は、正規のユーザーの権限を装って不正なリクエストを送信し、プラグインの設定を改ざんできます。
NS IE Compatibility Fixerプラグインのバージョン0.0.0から2.1.5を使用しているWordPressサイトは、この脆弱性に影響を受ける可能性があります。攻撃者に設定が不正に変更されるリスクがあります。
この脆弱性を修正するには、NS IE Compatibility Fixerプラグインを最新バージョンにアップデートすることを推奨します。アップデートが難しい場合は、WordPressのセキュリティプラグインでCSRF対策を強化してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CSRFは比較的容易に悪用可能な脆弱性であるため、注意が必要です。
NS IE Compatibility Fixerの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。