Plataforma
wordpress
Componente
kento-latest-tabs
Corrigido em
1.5.1
A vulnerabilidade CVE-2025-14999 afeta o plugin Latest Tabs para WordPress, permitindo ataques de Cross-Site Request Forgery (CSRF). Essa falha ocorre devido à ausência ou validação incorreta de nonces no manipulador de atualização de configurações em admin-page.php. As versões afetadas são de 1.0.0 até 1.5. A correção está disponível na versão 1.6 do plugin.
Um atacante pode explorar essa vulnerabilidade para modificar as configurações do plugin Latest Tabs sem a necessidade de autenticação. Isso pode levar a alterações na funcionalidade do site, como a modificação de links, redirecionamentos maliciosos ou a inclusão de código JavaScript malicioso. O impacto é ampliado se o administrador do site clicar em um link malicioso enviado por um atacante, permitindo a execução de ações em nome do administrador. A exploração bem-sucedida pode comprometer a integridade do site e a segurança dos dados dos usuários.
A vulnerabilidade foi divulgada em 7 de janeiro de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de validação de nonce é um padrão comum em vulnerabilidades CSRF, e a existência de um ataque bem-sucedido é considerada provável, especialmente em sites com configurações de segurança inadequadas.
WordPress sites utilizing the Latest Tabs plugin, particularly those with administrative accounts that are frequently targeted by phishing or social engineering attacks, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources could also be affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'admin-page.php' /var/www/html/wp-content/plugins/latest-tabs/• wordpress / composer / npm:
wp plugin list --status=all | grep 'latest-tabs'• wordpress / composer / npm:
wp plugin update latest-tabs --alldisclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Latest Tabs para a versão 1.6 ou superior, que corrige a vulnerabilidade CSRF. Como alternativa, se a atualização imediata não for possível, implemente medidas de segurança adicionais, como a restrição de acesso ao painel de administração do WordPress e a utilização de um Web Application Firewall (WAF) para bloquear requisições suspeitas. Monitore os logs do WordPress em busca de atividades incomuns e configure alertas para detectar tentativas de modificação de configurações do plugin.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14999 é uma vulnerabilidade CSRF no plugin Latest Tabs para WordPress, permitindo que atacantes não autenticados modifiquem as configurações do plugin.
Sim, se você estiver usando o plugin Latest Tabs nas versões de 1.0.0 a 1.5, você está afetado por esta vulnerabilidade.
Atualize o plugin Latest Tabs para a versão 1.6 ou superior para corrigir a vulnerabilidade. Implemente medidas de segurança adicionais, como um WAF, se a atualização imediata não for possível.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a vulnerabilidade é considerada provável devido à sua natureza e à falta de validação de nonce.
Consulte o site do desenvolvedor do plugin Latest Tabs ou o repositório oficial do WordPress para obter o aviso oficial e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.