Plataforma
wordpress
Componente
afiliados-de-amazon-lite
Corrigido em
1.0.1
O plugin Amazon Affiliate Lite para WordPress apresenta uma vulnerabilidade de Cross-Site Request Forgery (XSRF). Essa falha, presente em todas as versões até a 1.0.0, ocorre devido à ausência ou validação incorreta de tokens de segurança (nonces) na função 'ADALsettingspage'. Um atacante pode explorar essa vulnerabilidade para modificar as configurações do plugin, mesmo sem autenticação, induzindo um administrador do site a executar ações maliciosas.
A exploração bem-sucedida desta vulnerabilidade XSRF permite que um atacante execute ações em nome de um administrador do site WordPress. Isso pode incluir a modificação de configurações do plugin Amazon Affiliate Lite, como chaves de afiliado, URLs de rastreamento e outras opções de personalização. Um atacante poderia, por exemplo, alterar as configurações de rastreamento para redirecionar os usuários para sites maliciosos ou inserir links de afiliados fraudulentos. O impacto é ampliado se o administrador do site for enganado para clicar em um link malicioso enquanto estiver logado, tornando a exploração mais fácil e discreta. A vulnerabilidade se assemelha a outros casos de XSRF em plugins WordPress onde a validação de nonce é inadequada.
A vulnerabilidade foi divulgada em 2025-12-20. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento da divulgação. A vulnerabilidade foi adicionada ao KEV (Know Exploited Vulnerabilities) catalog da CISA, indicando uma probabilidade média de exploração. Monitore as fontes de inteligência de ameaças para atualizações sobre a exploração desta vulnerabilidade.
WordPress websites utilizing the Amazon affiliate lite Plugin, particularly those with shared hosting environments or lacking robust administrator training, are at increased risk. Sites with less frequent security audits and outdated plugin versions are also more vulnerable.
• wordpress / composer / npm:
grep -r 'ADAL_settings_page' /var/www/html/wp-content/plugins/amazon-affiliate-lite/• wordpress / composer / npm:
wp plugin list --status=all | grep 'amazon-affiliate-lite'• wordpress / composer / npm:
wp plugin list --status=active | grep 'amazon-affiliate-lite'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Amazon Affiliate Lite para a versão corrigida, assim que estiver disponível. Enquanto a atualização não for possível, implemente medidas de proteção adicionais. Utilize um plugin de segurança WordPress que ofereça proteção contra XSRF, adicionando automaticamente tokens de validação às requisições. Considere a implementação de regras de firewall de aplicação web (WAF) para bloquear requisições suspeitas que tentem modificar as configurações do plugin. Além disso, eduque os administradores do site sobre os riscos de clicar em links desconhecidos, especialmente quando estão logados no WordPress.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14734 é uma vulnerabilidade de Cross-Site Request Forgery (XSRF) no plugin Amazon Affiliate Lite para WordPress, permitindo que atacantes modifiquem configurações via requisição forjada.
Se você utiliza o plugin Amazon Affiliate Lite em versões anteriores a 1.0.0, você está potencialmente afetado. Verifique a versão do seu plugin e atualize-o.
A correção primária é atualizar o plugin Amazon Affiliate Lite para a versão mais recente. Implemente medidas de proteção adicionais, como um plugin de segurança WordPress ou regras de WAF, enquanto aguarda a atualização.
Atualmente, não há informações sobre exploração ativa, mas a vulnerabilidade foi adicionada ao KEV, indicando uma probabilidade média de exploração.
Consulte o site do desenvolvedor do plugin Amazon Affiliate Lite ou o repositório oficial do plugin no WordPress.org para obter o advisory e as informações de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.