Sign up to save your podcasts
Or
Share RadioCSIRT – Edition spéciale Wordpress du Vendredi 13 Juin (Ép. 322)
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
RadioCSIRT – Edition spéciale Wordpress du Vendredi 13 Juin (Ép. 322)
📌 Au programme aujourd’hui :
🔐 Vulnérabilités WordPress : 13 failles critiques à corriger
Une série de vulnérabilités affectent plusieurs plugins WordPress, exposant les sites à des risques variés tels que l'escalade de privilèges, la suppression de contenu, le Cross-Site Scripting (XSS) et le Cross-Site Request Forgery (CSRF).
🔧 Escalade de privilèges
CVE-2025-5288 : Le plugin Custom API Generator permet à un attaquant non authentifié de créer un compte administrateur via une requête POST malveillante.
🗑️ Suppression de contenu
CVE-2025-5282 : Le plugin WP Travel Engine autorise la suppression de publications sans authentification, en raison d'un contrôle de capacité manquant.
🧠 Contournement de la surveillance
CVE-2025-5815 : Le plugin Traffic Monitor permet à un attaquant non authentifié de désactiver la journalisation des bots via une fonction AJAX exposée.
🧪 Vulnérabilités XSS (Cross-Site Scripting)
CVE-2025-5950 : Le plugin IndieBlocks est vulnérable au XSS stocké via le paramètre 'kind'.
CVE-2025-5939 : Le plugin Telegram for WP présente une faille XSS dans les paramètres d'administration.
CVE-2025-5841 : Le plugin ACF Onyx Poll est affecté par une vulnérabilité XSS via le paramètre 'class'.
CVE-2025-5233 : Le plugin Color Palette permet l'injection de scripts via le paramètre 'hex'.
CVE-2025-5123 : Le plugin Contact People est vulnérable au XSS via le paramètre 'style'.
🛡️ Vulnérabilités CSRF (Cross-Site Request Forgery)
CVE-2025-5930 : Le plugin WP2HTML est vulnérable au CSRF en raison d'une validation de nonce manquante.
CVE-2025-5928 : Le plugin WP Sliding Login/Dashboard Panel présente une faille CSRF via la fonction wp_sliding_panel_user_options().
CVE-2025-5926 : Le plugin Link Shield est affecté par une vulnérabilité CSRF permettant la modification des paramètres.
🔗 Sources :
CVE-2025-5288 : https://cvefeed.io/vuln/detail/CVE-2025-5288
CVE-2025-5282 : https://cvefeed.io/vuln/detail/CVE-2025-5282
CVE-2025-5815 : https://cvefeed.io/vuln/detail/CVE-2025-5815
CVE-2025-5950 : https://cvefeed.io/vuln/detail/CVE-2025-5950
CVE-2025-5939 : https://cvefeed.io/vuln/detail/CVE-2025-5939
CVE-2025-5841 : https://cvefeed.io/vuln/detail/CVE-2025-5841
CVE-2025-5233 : https://cvefeed.io/vuln/detail/CVE-2025-5233
CVE-2025-5123 : https://cvefeed.io/vuln/detail/CVE-2025-5123
CVE-2025-5930 : https://cvefeed.io/vuln/detail/CVE-2025-5930
CVE-2025-5928 : https://cvefeed.io/vuln/detail/CVE-2025-5928
CVE-2025-5926 : https://cvefeed.io/vuln/detail/CVE-2025-5926
📞 Partagez vos remarques, questions ou expériences :
📱 Répondeur : 07 68 72 20 09
📧 Email : [email protected]
🎧 Disponible sur : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
View all episodes
By Marc Frédéric GOMEZ📌 Au programme aujourd’hui :
🔐 Vulnérabilités WordPress : 13 failles critiques à corriger
Une série de vulnérabilités affectent plusieurs plugins WordPress, exposant les sites à des risques variés tels que l'escalade de privilèges, la suppression de contenu, le Cross-Site Scripting (XSS) et le Cross-Site Request Forgery (CSRF).
🔧 Escalade de privilèges
CVE-2025-5288 : Le plugin Custom API Generator permet à un attaquant non authentifié de créer un compte administrateur via une requête POST malveillante.
🗑️ Suppression de contenu
CVE-2025-5282 : Le plugin WP Travel Engine autorise la suppression de publications sans authentification, en raison d'un contrôle de capacité manquant.
🧠 Contournement de la surveillance
CVE-2025-5815 : Le plugin Traffic Monitor permet à un attaquant non authentifié de désactiver la journalisation des bots via une fonction AJAX exposée.
🧪 Vulnérabilités XSS (Cross-Site Scripting)
CVE-2025-5950 : Le plugin IndieBlocks est vulnérable au XSS stocké via le paramètre 'kind'.
CVE-2025-5939 : Le plugin Telegram for WP présente une faille XSS dans les paramètres d'administration.
CVE-2025-5841 : Le plugin ACF Onyx Poll est affecté par une vulnérabilité XSS via le paramètre 'class'.
CVE-2025-5233 : Le plugin Color Palette permet l'injection de scripts via le paramètre 'hex'.
CVE-2025-5123 : Le plugin Contact People est vulnérable au XSS via le paramètre 'style'.
🛡️ Vulnérabilités CSRF (Cross-Site Request Forgery)
CVE-2025-5930 : Le plugin WP2HTML est vulnérable au CSRF en raison d'une validation de nonce manquante.
CVE-2025-5928 : Le plugin WP Sliding Login/Dashboard Panel présente une faille CSRF via la fonction wp_sliding_panel_user_options().
CVE-2025-5926 : Le plugin Link Shield est affecté par une vulnérabilité CSRF permettant la modification des paramètres.
🔗 Sources :
CVE-2025-5288 : https://cvefeed.io/vuln/detail/CVE-2025-5288
CVE-2025-5282 : https://cvefeed.io/vuln/detail/CVE-2025-5282
CVE-2025-5815 : https://cvefeed.io/vuln/detail/CVE-2025-5815
CVE-2025-5950 : https://cvefeed.io/vuln/detail/CVE-2025-5950
CVE-2025-5939 : https://cvefeed.io/vuln/detail/CVE-2025-5939
CVE-2025-5841 : https://cvefeed.io/vuln/detail/CVE-2025-5841
CVE-2025-5233 : https://cvefeed.io/vuln/detail/CVE-2025-5233
CVE-2025-5123 : https://cvefeed.io/vuln/detail/CVE-2025-5123
CVE-2025-5930 : https://cvefeed.io/vuln/detail/CVE-2025-5930
CVE-2025-5928 : https://cvefeed.io/vuln/detail/CVE-2025-5928
CVE-2025-5926 : https://cvefeed.io/vuln/detail/CVE-2025-5926
📞 Partagez vos remarques, questions ou expériences :
📱 Répondeur : 07 68 72 20 09
📧 Email : [email protected]
🎧 Disponible sur : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com