Plataforma
wordpress
Componente
ns-ie-compatibility-fixer
Corrigido em
2.1.6
O plugin NS IE Compatibility Fixer para WordPress apresenta uma vulnerabilidade de Cross-Site Request Forgery (CSRF) em todas as versões até, e incluindo, 2.1.5. Essa falha ocorre devido à ausência de validação de nonce na funcionalidade de atualização de configurações. Um atacante não autenticado pode explorar essa vulnerabilidade para modificar as configurações do plugin, induzindo um administrador a executar uma ação maliciosa, como clicar em um link especialmente elaborado.
A exploração bem-sucedida desta vulnerabilidade CSRF permite que um atacante modifique as configurações do plugin NS IE Compatibility Fixer sem a necessidade de autenticação. Isso pode levar a alterações significativas no comportamento do site, como a alteração de configurações de compatibilidade do navegador, a injeção de código malicioso ou a redirecionamento de usuários para sites maliciosos. O impacto potencial é alto, especialmente em sites com acesso privilegiado ou que processam informações sensíveis, pois um atacante pode comprometer a integridade do site e a segurança dos dados dos usuários. A ausência de validação de nonce torna a exploração relativamente simples, exigindo apenas a criação de uma requisição HTTP forjada e a indução do administrador a executá-la.
Esta vulnerabilidade foi divulgada em 2026-01-07. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento da divulgação. A vulnerabilidade foi adicionada ao Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, indicando um risco potencial para a segurança cibernética. A ausência de PoCs públicos não elimina a possibilidade de exploração por atores maliciosos com conhecimento técnico.
WordPress websites utilizing the NS IE Compatibility Fixer plugin, particularly those with shared hosting environments or where administrative privileges are not strictly controlled, are at increased risk. Sites with legacy WordPress configurations or those lacking robust security practices are also more vulnerable.
• wordpress / composer / npm:
grep -r 'settings_update' /var/www/html/wp-content/plugins/ns-ie-compatibility-fixer/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'ns-ie-compatibility-fixer'• generic web: Check for unusual plugin settings modifications in the WordPress admin panel. • generic web: Monitor WordPress access logs for suspicious requests targeting plugin settings endpoints.
disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin NS IE Compatibility Fixer para a versão corrigida, assim que estiver disponível. Enquanto a atualização não estiver disponível, considere implementar medidas de segurança adicionais, como a restrição de acesso às páginas de configuração do plugin, a implementação de validação de nonce personalizada ou o uso de um firewall de aplicação web (WAF) que possa detectar e bloquear requisições CSRF. Além disso, é crucial educar os administradores sobre os riscos de CSRF e incentivá-los a ter cuidado ao clicar em links ou executar ações em sites desconhecidos. Após a atualização, confirme a correção verificando se as configurações do plugin são protegidas contra modificações não autorizadas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14845 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin NS IE Compatibility Fixer para WordPress, permitindo que atacantes não autenticados modifiquem as configurações do plugin.
Se você estiver usando o plugin NS IE Compatibility Fixer em versões 0.0.0–2.1.5, você está afetado por esta vulnerabilidade.
Atualize o plugin NS IE Compatibility Fixer para a versão corrigida assim que estiver disponível. Enquanto isso, implemente medidas de segurança adicionais, como a restrição de acesso às páginas de configuração.
Não há informações disponíveis sobre a existência de PoCs públicos ou campanhas de exploração ativas no momento da divulgação, mas o risco potencial existe.
Verifique o site oficial do WordPress e o repositório de plugins para obter o advisory e as informações de correção mais recentes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.