Plataforma
wordpress
Componente
accelerated-mobile-pages
Corrigido em
1.2.0
A vulnerabilidade CVE-2025-14468 afeta o plugin AMP for WP – Accelerated Mobile Pages para WordPress, permitindo ataques de Cross-Site Request Forgery (XSRF). Essa falha ocorre devido a uma lógica de verificação de nonce invertida no manipulador AJAX ampthemeajaxcomments, aceitando requisições inválidas ou ausentes. Versões afetadas incluem 1.0.0 até 1.1.9; a correção está disponível na versão 1.1.10.
Um atacante pode explorar essa vulnerabilidade para forçar usuários autenticados a executar ações não intencionais, como a submissão de comentários em seu nome. Isso pode levar à disseminação de informações falsas, spam ou até mesmo à tomada de controle parcial de um site WordPress. O ataque exige que o atacante consiga enganar um usuário para que clique em um link malicioso enquanto este está logado no WordPress e com o plugin AMP for WP ativo e o modo de template habilitado. A severidade é considerada média devido ao potencial impacto na integridade do conteúdo e à necessidade de interação do usuário para que o ataque seja bem-sucedido.
A vulnerabilidade foi divulgada em 2026-01-07. Não há evidências de exploração ativa em campanhas conhecidas no momento. Não está listada no KEV da CISA. A existência de um POC público pode aumentar o risco de exploração.
Websites using the AMP for WP plugin, particularly those with active comment sections and a significant number of logged-in users, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially vulnerable, as a compromise on one site could lead to attacks targeting others.
• wordpress / composer / npm:
grep -r 'amp_theme_ajaxcomments' /var/www/html/wp-content/plugins/amp-wp/• wordpress / composer / npm:
wp plugin list --status=active | grep 'amp-wp'• wordpress / composer / npm:
wp plugin update amp-wp --version=1.1.10• wordpress / composer / npm:
wp plugin status amp-wp• wordpress / composer / npm:
wp plugin list --all | grep 'AMP for WP'disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin AMP for WP para a versão 1.1.10 ou superior. Se a atualização imediata não for possível, desative temporariamente o modo de template no plugin AMP for WP. Implementar políticas de segurança de conteúdo (CSP) pode ajudar a mitigar o risco de XSRF, restringindo as origens de onde o conteúdo pode ser carregado. Monitore logs do WordPress em busca de atividades suspeitas, como submissões de comentários inesperadas.
Atualize para a versão 1.1.10, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14468 é uma vulnerabilidade de Cross-Site Request Forgery (XSRF) no plugin AMP for WP, permitindo que atacantes forcem ações em nome de usuários logados. A vulnerabilidade afeta versões até 1.1.9.
Se você está utilizando o plugin AMP for WP nas versões 1.0.0 a 1.1.9 e o modo de template está habilitado, você está potencialmente afetado. Verifique a versão do plugin imediatamente.
Atualize o plugin AMP for WP para a versão 1.1.10 ou superior. Como medida temporária, desative o modo de template.
Não há evidências de exploração ativa em campanhas conhecidas no momento, mas a vulnerabilidade foi divulgada e pode ser explorada.
Consulte o site oficial do AMP for WP ou o repositório do plugin no WordPress.org para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.