Plataforma
wordpress
Componente
sticky-action-buttons
Corrigido em
1.1.1
O plugin Sticky Action Buttons para WordPress apresenta uma vulnerabilidade de Cross-Site Request Forgery (XSRF). Essa falha permite que um atacante não autenticado execute ações em nome de um administrador do site, como modificar as configurações do plugin, através de requisições maliciosas. A vulnerabilidade afeta versões do plugin entre 0.0.0 e 1.1. A correção está disponível em versões posteriores do plugin.
Um atacante pode explorar essa vulnerabilidade para alterar as configurações do plugin Sticky Action Buttons sem a necessidade de autenticação. Isso pode levar a modificações não autorizadas no comportamento do site, como a alteração de links, redirecionamentos ou outras funcionalidades controladas pelo plugin. O impacto é ampliado se o administrador do site for enganado para clicar em um link malicioso, permitindo que o atacante execute ações com privilégios elevados. A exploração bem-sucedida pode comprometer a integridade do site e a experiência do usuário.
A vulnerabilidade foi divulgada em 2026-01-07. Não há relatos públicos de exploração ativa no momento. A ausência de validação adequada de nonce na função sabsoptionspageformsubmit() é a causa raiz. A probabilidade de exploração é considerada média, dada a facilidade de criação de requisições XSRF e a prevalência de plugins WordPress.
WordPress websites utilizing the Sticky Action Buttons plugin, particularly those with administrative accounts that are susceptible to phishing attacks or social engineering, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'sabs_options_page_form_submit' /var/www/html/wp-content/plugins/sticky-action-buttons/• wordpress / composer / npm:
wp plugin list --status=inactive | grep sticky-action-buttons• wordpress / composer / npm:
wp plugin list | grep sticky-action-buttonsdisclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Sticky Action Buttons para a versão mais recente, que corrige a vulnerabilidade XSRF. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de proteção adicionais, como a utilização de um Web Application Firewall (WAF) com regras para bloquear requisições XSRF. Além disso, revise as configurações do plugin e implemente políticas de segurança mais rigorosas para limitar o acesso e as permissões dos usuários. Monitore os logs do servidor em busca de atividades suspeitas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14465 é uma vulnerabilidade de Cross-Site Request Forgery (XSRF) no plugin Sticky Action Buttons para WordPress, permitindo que atacantes não autenticados alterem configurações do plugin.
Se você utiliza o plugin Sticky Action Buttons em versões entre 0.0.0 e 1.1, você está afetado por esta vulnerabilidade.
A correção é atualizar o plugin Sticky Action Buttons para a versão mais recente que corrige a vulnerabilidade XSRF. Se a atualização não for possível, implemente medidas de mitigação como um WAF.
Até o momento, não há relatos públicos de exploração ativa da vulnerabilidade, mas a probabilidade de exploração é considerada média.
Consulte o site oficial do plugin Sticky Action Buttons ou o repositório do WordPress para obter o aviso oficial e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.