無料スキャン
MEDIUMCVE-2025-14394CVSS 4.3

Popover Windows <= 1.2 - 任意のポップオーバー設定更新へのクロスサイトリクエストフォージェリ

プラットフォーム

wordpress

コンポーネント

popover-windows

修正版

1.2.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月
NVDで見る
保存
あなたの言語に翻訳中…

CVE-2025-14394 describes a Cross-Site Request Forgery (XSRF) vulnerability affecting the Popover Windows plugin for WordPress. This flaw allows unauthenticated attackers to manipulate the plugin's settings by crafting malicious requests that trick administrators into performing unintended actions. The vulnerability impacts versions from 0.0.0 up to and including 1.2, and a fix is available in a future release.

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ翻訳中…

The primary impact of this XSRF vulnerability lies in the potential for unauthorized modification of the Popover Windows plugin's configuration. An attacker could leverage this to alter the plugin’s behavior, potentially injecting malicious code or redirecting users. Successful exploitation requires the attacker to convince a site administrator to click on a specially crafted link or visit a malicious webpage. The blast radius is limited to the functionality controlled by the Popover Windows plugin itself, but depending on its role on the site, this could have significant consequences.

悪用の状況翻訳中…

This vulnerability was publicly disclosed on 2025-12-13. There are currently no known public proof-of-concept exploits available. The vulnerability's severity is assessed as Medium. It is not currently listed on the CISA KEV catalog.

リスク対象者翻訳中…

WordPress websites utilizing the Popover Windows plugin, particularly those with shared hosting environments or legacy configurations lacking robust user access controls, are at increased risk. Site administrators who routinely click on links from untrusted sources are also more vulnerable.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'Popover Windows' /var/www/html/wp-content/plugins/
wp plugin list | grep 'Popover Windows'

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=popover_windows_settings_update&setting_name=some_setting&setting_value=some_value

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N4.3MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントpopover-windows
ベンダーwordfence
影響範囲修正版
0 – 1.21.2.1

弱点分類 (CWE)

CWE-352

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日
未パッチ — 公開から162日経過

緩和策と回避策翻訳中…

The immediate mitigation for CVE-2025-14394 is to upgrade the Popover Windows plugin to a version containing the nonce validation fix. Since a fixed version is not yet available, implement strict user access controls and educate administrators about the risks of clicking on suspicious links. Consider using a WordPress security plugin with XSRF protection capabilities. Regularly review plugin settings for any unauthorized changes. After applying any mitigation steps, verify the plugin's settings and functionality to ensure they remain as expected.

修正方法

既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問翻訳中…

What is CVE-2025-14394 — XSRF in Popover Windows WordPress Plugin?

CVE-2025-14394 is a Cross-Site Request Forgery (XSRF) vulnerability in the Popover Windows WordPress plugin, allowing attackers to modify plugin settings via forged requests.

Am I affected by CVE-2025-14394 in Popover Windows WordPress Plugin?

You are affected if you are using the Popover Windows plugin in versions 0.0.0 through 1.2. Upgrade to a patched version as soon as it becomes available.

How do I fix CVE-2025-14394 in Popover Windows WordPress Plugin?

Upgrade the Popover Windows plugin to a version containing the nonce validation fix. Until then, implement strict user access controls and educate administrators.

Is CVE-2025-14394 being actively exploited?

There are currently no confirmed reports of active exploitation, but the vulnerability is publicly known.

Where can I find the official Popover Windows advisory for CVE-2025-14394?

Check the Popover Windows plugin's official website or WordPress plugin repository for updates and advisories related to CVE-2025-14394.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索