Edition spéciale WordPress du Vendredi 13 Juin (Ép. 322)

RadioCSIRT

00:00 /

🎵🎙️ Podcast RadioCSIRT –

📌 Au programme aujourd’hui :

🔐 Vulnérabilités WordPress : 13 failles critiques à corriger

Une série de vulnérabilités affectent plusieurs plugins WordPress, exposant les sites à des risques variés tels que l’escalade de privilèges, la suppression de contenu, le Cross-Site Scripting (XSS) et le Cross-Site Request Forgery (CSRF).

🔧 Escalade de privilèges

CVE-2025-5288 : Le plugin Custom API Generator permet à un attaquant non authentifié de créer un compte administrateur via une requête POST malveillante.

🗑️ Suppression de contenu

CVE-2025-5282 : Le plugin WP Travel Engine autorise la suppression de publications sans authentification, en raison d’un contrôle de capacité manquant.

🧠 Contournement de la surveillance

CVE-2025-5815 : Le plugin Traffic Monitor permet à un attaquant non authentifié de désactiver la journalisation des bots via une fonction AJAX exposée.

🧪 Vulnérabilités XSS (Cross-Site Scripting)

CVE-2025-5950 : Le plugin IndieBlocks est vulnérable au XSS stocké via le paramètre ‘kind’.
CVE-2025-5939 : Le plugin Telegram for WP présente une faille XSS dans les paramètres d’administration.
CVE-2025-5841 : Le plugin ACF Onyx Poll est affecté par une vulnérabilité XSS via le paramètre ‘class’.
CVE-2025-5233 : Le plugin Color Palette permet l’injection de scripts via le paramètre ‘hex’.
CVE-2025-5123 : Le plugin Contact People est vulnérable au XSS via le paramètre ‘style’.

🛡️ Vulnérabilités CSRF (Cross-Site Request Forgery)

CVE-2025-5930 : Le plugin WP2HTML est vulnérable au CSRF en raison d’une validation de nonce manquante.
CVE-2025-5928 : Le plugin WP Sliding Login/Dashboard Panel présente une faille CSRF via la fonction wp_sliding_panel_user_options().
CVE-2025-5926 : Le plugin Link Shield est affecté par une vulnérabilité CSRF permettant la modification des paramètres.

🔗 Sources :

CVE-2025-5288 : https://cvefeed.io/vuln/detail/CVE-2025-5288
CVE-2025-5282 : https://cvefeed.io/vuln/detail/CVE-2025-5282
CVE-2025-5815 : https://cvefeed.io/vuln/detail/CVE-2025-5815
CVE-2025-5950 : https://cvefeed.io/vuln/detail/CVE-2025-5950
CVE-2025-5939 : https://cvefeed.io/vuln/detail/CVE-2025-5939
CVE-2025-5841 : https://cvefeed.io/vuln/detail/CVE-2025-5841
CVE-2025-5233 : https://cvefeed.io/vuln/detail/CVE-2025-5233
CVE-2025-5123 : https://cvefeed.io/vuln/detail/CVE-2025-5123
CVE-2025-5930 : https://cvefeed.io/vuln/detail/CVE-2025-5930
CVE-2025-5928 : https://cvefeed.io/vuln/detail/CVE-2025-5928
CVE-2025-5926 : https://cvefeed.io/vuln/detail/CVE-2025-5926

📞 Partagez vos remarques, questions ou expériences :

📱 Répondeur : 07 68 72 20 09
📧 Email : radiocsirt@gmail.com

🎧 Disponible sur : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com