Plataforma
wordpress
Componente
newsletter-email-subscribe
Corrigido em
2.5.4
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no plugin Newsletter Email Subscribe para WordPress. Essa falha, presente em versões até 2.4, permite que atacantes não autenticados alterem as configurações do plugin através de requisições maliciosas, explorando uma validação inadequada de nonce na função nelssettingspage. A correção foi disponibilizada na versão 2.5.4 e a vulnerabilidade foi publicada em 07 de janeiro de 2026.
A exploração bem-sucedida desta vulnerabilidade CSRF permite que um atacante execute ações em nome de um administrador do site WordPress sem a necessidade de credenciais válidas. Isso pode resultar na modificação de configurações críticas do plugin, como o endereço de e-mail para notificações, a integração com serviços de terceiros ou até mesmo a inclusão de código malicioso. Um atacante poderia, por exemplo, alterar o endereço de e-mail de envio de newsletters para um endereço controlado por ele, redirecionando o tráfego e potencialmente comprometendo a reputação do site. A ausência de validação adequada de nonce torna o ataque relativamente simples de executar, especialmente se o atacante conseguir induzir um administrador a clicar em um link malicioso.
Atualmente, não há relatos públicos de exploração ativa desta vulnerabilidade. A vulnerabilidade foi adicionada ao CVE em 07 de janeiro de 2026. Não há evidências de que esta vulnerabilidade esteja sendo explorada em campanhas direcionadas. A probabilidade de exploração é considerada baixa a média, dependendo da prevalência do plugin e da conscientização da comunidade de segurança.
WordPress websites utilizing the Newsletter Email Subscribe plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as attackers could potentially compromise multiple websites simultaneously.
• wordpress / composer / npm:
grep -r 'nels_settings_page' /var/www/html/wp-content/plugins/newsletter-email-subscribe/• wordpress / composer / npm:
wp plugin list --status=all | grep 'Newsletter Email Subscribe'• wordpress / composer / npm:
wp plugin update --alldisclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata do plugin Newsletter Email Subscribe para a versão 2.5.4 ou superior. Se a atualização imediata não for possível devido a incompatibilidades com outros plugins ou temas, considere desativar temporariamente o plugin até que a atualização possa ser realizada com segurança. Como medida adicional, implemente políticas de segurança robustas, como a exigência de autenticação multifator (MFA) para todos os administradores do site. Além disso, utilize um Web Application Firewall (WAF) configurado para bloquear requisições CSRF, embora isso não substitua a necessidade de atualização do plugin.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14904 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Newsletter Email Subscribe para WordPress, permitindo que atacantes não autenticados modifiquem configurações do plugin.
Sim, se você estiver usando o plugin Newsletter Email Subscribe nas versões 0.0.0 até 2.4, você está afetado por esta vulnerabilidade.
Atualize o plugin Newsletter Email Subscribe para a versão 2.5.4 ou superior para corrigir a vulnerabilidade.
Atualmente, não há relatos públicos de exploração ativa, mas a vulnerabilidade representa um risco potencial.
Consulte o site do desenvolvedor do plugin ou o repositório oficial do WordPress para obter o advisory oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.