Le 13 juin 2025, plusieurs vulnérabilités critiques ont été publiées concernant des extensions WordPress largement utilisées. Ces failles exposent les sites à des risques d’exploitation tels que l’escalade de privilèges, la suppression non autorisée de contenu, le vol de données via XSS, ou encore des attaques CSRF.
Cette vague de publications souligne l’importance de maintenir à jour l’ensemble des composants WordPress, en particulier les plugins tiers.
Escalade de privilèges
CVE-2025-5288 – Custom API Generator Cette faille critique permet à un attaquant non authentifié de créer un compte administrateur via une simple requête POST malveillante. Le mécanisme de vérification des privilèges est absent.
Suppression de contenu non authentifiée
CVE-2025-5282 – WP Travel Engine Une défaillance dans le contrôle de capacité permet à un utilisateur non authentifié de supprimer des publications. Cela expose les sites à des pertes de contenu arbitraires.
Désactivation de la journalisation
CVE-2025-5815 – Traffic Monitor L’extension permet de désactiver la journalisation des bots sans authentification, via une fonction AJAX exposée, ce qui permet de contourner les mécanismes de surveillance automatisée.
Vulnérabilités Cross-Site Scripting (XSS)
CVE-2025-5950 – IndieBlocks Injection de script persistante via le paramètre kind, exposant les visiteurs à des attaques XSS stockées.
CVE-2025-5939 – Telegram for WP Failles XSS identifiées dans les paramètres d’administration du plugin.
CVE-2025-5841 – ACF Onyx Poll Le paramètre class dans l’interface publique permet l’injection de scripts arbitraires.
CVE-2025-5233 – Color Palette La valeur du champ hex n’est pas correctement validée, entraînant une vulnérabilité XSS.
CVE-2025-5123 – Contact People Le champ style du formulaire de contact est vulnérable à l’injection de code JavaScript.
Vulnérabilités Cross-Site Request Forgery (CSRF)
CVE-2025-5930 – WP2HTML Absence de vérification de nonce dans les fonctions critiques, facilitant des attaques par requêtes intersites forgées.
CVE-2025-5928 – WP Sliding Login/Dashboard Panel La fonction wp_sliding_panel_user_options() est vulnérable à une modification de paramètres par un tiers sans authentification.
CVE-2025-5926 – Link Shield Un défaut de vérification permet la modification de la configuration via une requête CSRF.
Conclusion
Les vulnérabilités listées ci-dessus affectent directement la sécurité, la confidentialité et la fiabilité des sites WordPress qui utilisent ces extensions. Il est impératif de vérifier la présence de ces plugins et de les mettre à jour ou de les désactiver si aucun correctif n’est disponible.
Enjoy !
Sources
- Podcast RadioCSIRT : https://www.radiocsirt.org/podcast/edition-speciale-wordpress-du-vendredi-13-juin-ep-322/
- https://cvefeed.io/vuln/detail/CVE-2025-5288
- https://cvefeed.io/vuln/detail/CVE-2025-5282
- https://cvefeed.io/vuln/detail/CVE-2025-5815
- https://cvefeed.io/vuln/detail/CVE-2025-5950
- https://cvefeed.io/vuln/detail/CVE-2025-5939
- https://cvefeed.io/vuln/detail/CVE-2025-5841
- https://cvefeed.io/vuln/detail/CVE-2025-5233
- https://cvefeed.io/vuln/detail/CVE-2025-5123
- https://cvefeed.io/vuln/detail/CVE-2025-5930
- https://cvefeed.io/vuln/detail/CVE-2025-5928
- https://cvefeed.io/vuln/detail/CVE-2025-5926
