Plataforma
wordpress
Componente
user-registration
Corrigido em
4.4.9
A vulnerabilidade CVE-2025-14976 é uma falha de Cross-Site Request Forgery (CSRF) identificada no plugin User Registration & Membership para WordPress. Essa falha permite que atacantes não autenticados executem ações em nome de usuários autenticados, como a exclusão de posts. A vulnerabilidade afeta versões do plugin de 0.0.0 até 4.4.8, sendo corrigida na versão 4.4.9.
Um atacante pode explorar essa vulnerabilidade para excluir posts do WordPress sem a necessidade de autenticação. Ao criar um link malicioso e induzir um administrador a clicar nele, o atacante pode efetivamente deletar qualquer post no site, comprometendo a integridade dos dados e potencialmente interrompendo a funcionalidade do site. A ausência de validação adequada de nonce na função 'processrowactions' com a ação 'delete' é a raiz do problema, permitindo que requisições forjadas sejam processadas como legítimas. Essa vulnerabilidade se assemelha a outros ataques CSRF que exploram a falta de proteção em formulários e ações críticas.
A vulnerabilidade foi publicada em 2026-01-10. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público é desconhecida. É importante monitorar a situação e aplicar as medidas de mitigação o mais rápido possível.
WordPress websites utilizing the User Registration & Membership plugin, particularly those with administrative accounts that are frequently used and potentially susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'process_row_actions' /var/www/html/wp-content/plugins/user-registration-membership/• wordpress / composer / npm:
wp plugin list --status=all | grep 'user-registration-membership'• wordpress / composer / npm:
wp plugin update user-registration-membershipdisclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin User Registration & Membership para a versão 4.4.9 ou superior, que inclui a correção para essa vulnerabilidade. Em ambientes onde a atualização imediata não é possível, considere implementar medidas de proteção adicionais, como a utilização de um Web Application Firewall (WAF) com regras para bloquear requisições CSRF. Além disso, reforce as práticas de segurança dos administradores, alertando-os sobre os riscos de clicar em links suspeitos. Verifique, após a atualização, se a validação de nonce está sendo corretamente aplicada às ações de exclusão de posts.
Atualize para a versão 4.4.9, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14976 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin User Registration & Membership para WordPress, permitindo a exclusão de posts por atacantes não autenticados.
Sim, se você estiver usando o plugin User Registration & Membership em versões de 0.0.0 a 4.4.8, você está afetado por essa vulnerabilidade.
Atualize o plugin User Registration & Membership para a versão 4.4.9 ou superior para corrigir a vulnerabilidade.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas é importante aplicar a correção o mais rápido possível.
Consulte o site do WordPress e o repositório de plugins para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.