/
RSS Feed
🎵🎙️ Podcast RadioCSIRT –
📌 Au programme aujourd’hui :
🔐 Vulnérabilités WordPress : 13 failles critiques à corriger
Une série de vulnérabilités affectent plusieurs plugins WordPress, exposant les sites à des risques variés tels que l’escalade de privilèges, la suppression de contenu, le Cross-Site Scripting (XSS) et le Cross-Site Request Forgery (CSRF).
🔧 Escalade de privilèges
- CVE-2025-5288 : Le plugin Custom API Generator permet à un attaquant non authentifié de créer un compte administrateur via une requête POST malveillante.
🗑️ Suppression de contenu
- CVE-2025-5282 : Le plugin WP Travel Engine autorise la suppression de publications sans authentification, en raison d’un contrôle de capacité manquant.
🧠 Contournement de la surveillance
- CVE-2025-5815 : Le plugin Traffic Monitor permet à un attaquant non authentifié de désactiver la journalisation des bots via une fonction AJAX exposée.
🧪 Vulnérabilités XSS (Cross-Site Scripting)
- CVE-2025-5950 : Le plugin IndieBlocks est vulnérable au XSS stocké via le paramètre ‘kind’.
- CVE-2025-5939 : Le plugin Telegram for WP présente une faille XSS dans les paramètres d’administration.
- CVE-2025-5841 : Le plugin ACF Onyx Poll est affecté par une vulnérabilité XSS via le paramètre ‘class’.
- CVE-2025-5233 : Le plugin Color Palette permet l’injection de scripts via le paramètre ‘hex’.
- CVE-2025-5123 : Le plugin Contact People est vulnérable au XSS via le paramètre ‘style’.
🛡️ Vulnérabilités CSRF (Cross-Site Request Forgery)
- CVE-2025-5930 : Le plugin WP2HTML est vulnérable au CSRF en raison d’une validation de nonce manquante.
- CVE-2025-5928 : Le plugin WP Sliding Login/Dashboard Panel présente une faille CSRF via la fonction wp_sliding_panel_user_options().
- CVE-2025-5926 : Le plugin Link Shield est affecté par une vulnérabilité CSRF permettant la modification des paramètres.
🔗 Sources :
- CVE-2025-5288 : https://cvefeed.io/vuln/detail/CVE-2025-5288
- CVE-2025-5282 : https://cvefeed.io/vuln/detail/CVE-2025-5282
- CVE-2025-5815 : https://cvefeed.io/vuln/detail/CVE-2025-5815
- CVE-2025-5950 : https://cvefeed.io/vuln/detail/CVE-2025-5950
- CVE-2025-5939 : https://cvefeed.io/vuln/detail/CVE-2025-5939
- CVE-2025-5841 : https://cvefeed.io/vuln/detail/CVE-2025-5841
- CVE-2025-5233 : https://cvefeed.io/vuln/detail/CVE-2025-5233
- CVE-2025-5123 : https://cvefeed.io/vuln/detail/CVE-2025-5123
- CVE-2025-5930 : https://cvefeed.io/vuln/detail/CVE-2025-5930
- CVE-2025-5928 : https://cvefeed.io/vuln/detail/CVE-2025-5928
- CVE-2025-5926 : https://cvefeed.io/vuln/detail/CVE-2025-5926
📞 Partagez vos remarques, questions ou expériences :
- 📱 Répondeur : 07 68 72 20 09
- 📧 Email : radiocsirt@gmail.com
🎧 Disponible sur : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com