平台
wordpress
组件
ns-ie-compatibility-fixer
修复版本
2.1.6
NS IE Compatibility Fixer是一款为WordPress网站提供IE兼容性修复的插件。该插件存在跨站请求伪造(CSRF)漏洞,允许未经身份验证的攻击者通过伪造请求修改插件设置。该漏洞影响所有版本,包括0.0.0到2.1.5。已于2026年1月7日公开,建议用户尽快更新插件或采取缓解措施。
攻击者可以利用此CSRF漏洞,在管理员不知情的情况下修改NS IE Compatibility Fixer插件的配置。这可能导致网站出现意外行为、安全设置被绕过,甚至可能被用于进一步攻击网站。攻击者可以通过诱骗管理员点击恶意链接来触发伪造请求,从而实现配置修改。由于该插件影响IE兼容性,攻击者可能利用此漏洞影响使用IE浏览器的用户,造成更广泛的安全风险。
该漏洞已于2026年1月7日公开。目前尚未发现公开的PoC,但由于CSRF漏洞的易利用性,存在被利用的风险。建议密切关注安全社区的动态,及时采取应对措施。该漏洞尚未被添加到CISA KEV目录。
WordPress websites utilizing the NS IE Compatibility Fixer plugin, particularly those with shared hosting environments or where administrative privileges are not strictly controlled, are at increased risk. Sites with legacy WordPress configurations or those lacking robust security practices are also more vulnerable.
• wordpress / composer / npm:
grep -r 'settings_update' /var/www/html/wp-content/plugins/ns-ie-compatibility-fixer/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'ns-ie-compatibility-fixer'• generic web: Check for unusual plugin settings modifications in the WordPress admin panel. • generic web: Monitor WordPress access logs for suspicious requests targeting plugin settings endpoints.
disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
为了缓解此漏洞,建议立即更新NS IE Compatibility Fixer插件至修复版本。如果无法立即更新,可以考虑以下临时措施:限制管理员权限,避免管理员访问可能触发CSRF攻击的页面;实施严格的输入验证和输出编码,防止恶意数据注入;使用Web应用防火墙(WAF)来检测和阻止CSRF攻击。此外,可以考虑在插件设置页面添加Nonce验证,以增强安全性。更新后,请确认插件配置已恢复正常,并检查是否有任何异常活动。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-14845描述了WordPress插件NS IE Compatibility Fixer中存在的跨站请求伪造(CSRF)漏洞,攻击者可以通过伪造请求修改插件设置。
如果您的WordPress网站安装了NS IE Compatibility Fixer插件,且版本低于2.1.5,则可能受到此漏洞的影响。
建议立即更新NS IE Compatibility Fixer插件至最新版本(2.1.6或更高版本)。
目前尚未发现CVE-2025-14845正在被积极利用,但由于CSRF漏洞的易利用性,存在被利用的风险。
请访问NS IE Compatibility Fixer插件的官方网站或WordPress插件目录,查找有关CVE-2025-14845的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。