CVE-2025-14904: CSRF in Newsletter Email Subscribe WordPress Plugin

このCSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者がリンクをクリックするだけで、Newsletter Email Subscribeプラグインの設定を自由に書き換えることができます。これにより、購読リストの不正な変更、スパムメールの送信設定の変更、あるいはプラグイン自体の悪意のあるコードの挿入といった攻撃が可能になります。攻撃者は、管理者がログインしている間に、プラグインの設定を変更し、サイトのセキュリティを侵害する可能性があります。この脆弱性は、特に管理者の権限を悪用し、サイト全体を乗っ取るための足がかりとして利用されるリスクがあります。

WordPress websites utilizing the Newsletter Email Subscribe plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as attackers could potentially compromise multiple websites simultaneously.

• wordpress / composer / npm:

grep -r 'nels_settings_page' /var/www/html/wp-content/plugins/newsletter-email-subscribe/

• wordpress / composer / npm:

wp plugin list --status=all | grep 'Newsletter Email Subscribe'

• wordpress / composer / npm:

wp plugin update --all

1. 2026-01-07Disclosure

   disclosure

1. 予約済み2025-12-18
2. 公開日2026-01-07
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

この脆弱性への対応として、まずNewsletter Email Subscribeプラグインをバージョン2.5.4にアップデートすることを推奨します。アップデートが困難な場合は、WordPressのセキュリティプラグインを使用してCSRFトークンを検証するルールを追加することで、脆弱性を軽減できます。また、管理者が不審なリンクをクリックしないように、セキュリティ意識の向上を図ることも重要です。WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することも有効な対策となります。