Plataforma
wordpress
Componente
last-email-address-validator
Corrigido em
1.7.2
O plugin LEAV Last Email Address Validator para WordPress apresenta uma vulnerabilidade de Cross-Site Request Forgery (XSRF). Essa falha permite que atacantes não autenticados modifiquem as configurações do plugin, explorando a ausência ou validação incorreta de nonces na função displaysettingspage. As versões afetadas são de 0.0.0 até 1.7.1. A correção está disponível em versões mais recentes do plugin.
Um atacante pode explorar essa vulnerabilidade XSRF para modificar as configurações do plugin LEAV Last Email Address Validator sem a necessidade de autenticação. Isso pode incluir alterar o comportamento do plugin, desabilitar funcionalidades de segurança ou até mesmo injetar código malicioso. O impacto potencial é a comprometimento da integridade dos dados e a possibilidade de ataques subsequentes ao site WordPress. A exploração bem-sucedida requer que o atacante consiga enganar um administrador do site para que clique em um link malicioso, executando a ação de modificação de configuração.
A vulnerabilidade foi divulgada em 2026-01-16. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois a exploração XSRF é relativamente simples de implementar. A severidade é classificada como MÉDIA devido ao potencial impacto na integridade do site.
WordPress sites utilizing the LEAV Last Email Address Validator plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources could also be affected if one site is compromised.
• wordpress / composer / npm:
grep -r 'display_settings_page' /var/www/html/wp-content/plugins/leav-last-email-address-validator/• wordpress / composer / npm:
wp plugin list --status=inactive | grep leav-last-email-address-validator• wordpress / composer / npm:
wp plugin update --alldisclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária para essa vulnerabilidade é atualizar o plugin LEAV Last Email Address Validator para a versão mais recente, que inclui a correção da validação de nonce. Se a atualização imediata não for possível, considere implementar regras de Web Application Firewall (WAF) para bloquear requisições XSRF. Além disso, revise as permissões de usuário no WordPress para garantir que apenas administradores tenham acesso às configurações do plugin. Verifique, após a atualização, se as configurações do plugin estão corretas e se não há alterações inesperadas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14853 é uma vulnerabilidade de Cross-Site Request Forgery (XSRF) no plugin LEAV Last Email Address Validator para WordPress, permitindo que atacantes não autenticados modifiquem as configurações do plugin.
Sim, se você estiver usando o plugin LEAV Last Email Address Validator nas versões de 0.0.0 a 1.7.1, você está afetado por essa vulnerabilidade.
A correção é atualizar o plugin LEAV Last Email Address Validator para a versão mais recente. Se a atualização não for possível, implemente regras WAF para mitigar o risco.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a vulnerabilidade é explorável e deve ser corrigida.
Verifique o site oficial do plugin LEAV Last Email Address Validator ou o repositório do WordPress para obter o advisory e as informações de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.