CVE-2025-14164: XSRF no Quran Gateway WordPress Plugin

Um atacante pode explorar essa vulnerabilidade de XSRF para executar ações em nome de um administrador do site, sem o seu conhecimento ou consentimento. Isso pode incluir a modificação das configurações de exibição do plugin, alterando o conteúdo exibido, a aparência do site ou até mesmo inserindo código malicioso. A exploração bem-sucedida pode comprometer a integridade do site e a experiência do usuário. A ausência de validação de nonce torna o ataque relativamente simples de executar, especialmente se o atacante conseguir enganar um administrador para clicar em um link malicioso.

WordPress websites utilizing the Quran Gateway plugin, particularly those with multiple administrators or shared hosting environments, are at increased risk. Sites with outdated plugin versions and inadequate security practices are especially vulnerable.

• wordpress / composer / npm:

grep -r "quran_gateway_options" /var/www/html/wp-content/plugins/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=quran_gateway_options | grep -i "csrf token"

1. 2025-12-20Disclosure

   disclosure

1. Reservado2025-12-05
2. Publicada2025-12-20
3. Modificada2026-04-08
4. EPSS atualizado2026-03-23

A mitigação primária é atualizar o plugin Quran Gateway para a versão corrigida, assim que estiver disponível. Enquanto isso, considere implementar medidas de segurança adicionais, como a ativação da validação de nonce em todo o site WordPress. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear requisições XSRF pode ajudar a proteger o site. Além disso, educar os administradores do site sobre os riscos de clicar em links suspeitos é crucial para prevenir ataques.