RadioCSIRT – Edition spéciale  Wordpress du Vendredi 13 Juin (Ép. 322)

📌 Au programme aujourd’hui :🔐 Vulnérabilités WordPress : 13 failles critiques à corrigerUne série de vulnérabilités affectent plusieurs plugins WordPress, exposant les sites à des risques variés tels que l'escalade de privilèges, la suppression de contenu, le Cross-Site Scripting (XSS) et le Cross-Site Request Forgery (CSRF).🔧 Escalade de privilègesCVE-2025-5288 : Le plugin Custom API Generator permet à un attaquant non authentifié de créer un compte administrateur via une requête POST malveillante. 🗑️ Suppression de contenuCVE-2025-5282 : Le plugin WP Travel Engine autorise la suppression de publications sans authentification, en raison d'un contrôle de capacité manquant. 🧠 Contournement de la surveillanceCVE-2025-5815 : Le plugin Traffic Monitor permet à un attaquant non authentifié de désactiver la journalisation des bots via une fonction AJAX exposée. 🧪 Vulnérabilités XSS (Cross-Site Scripting)CVE-2025-5950 : Le plugin IndieBlocks est vulnérable au XSS stocké via le paramètre 'kind'.CVE-2025-5939 : Le plugin Telegram for WP présente une faille XSS dans les paramètres d'administration.CVE-2025-5841 : Le plugin ACF Onyx Poll est affecté par une vulnérabilité XSS via le paramètre 'class'.CVE-2025-5233 : Le plugin Color Palette permet l'injection de scripts via le paramètre 'hex'.CVE-2025-5123 : Le plugin Contact People est vulnérable au XSS via le paramètre 'style'. 🛡️ Vulnérabilités CSRF (Cross-Site Request Forgery)CVE-2025-5930 : Le plugin WP2HTML est vulnérable au CSRF en raison d'une validation de nonce manquante.CVE-2025-5928 : Le plugin WP Sliding Login/Dashboard Panel présente une faille CSRF via la fonction wp_sliding_panel_user_options().CVE-2025-5926 : Le plugin Link Shield est affecté par une vulnérabilité CSRF permettant la modification des paramètres. 🔗 Sources :CVE-2025-5288 : https://cvefeed.io/vuln/detail/CVE-2025-5288CVE-2025-5282 : https://cvefeed.io/vuln/detail/CVE-2025-5282CVE-2025-5815 : https://cvefeed.io/vuln/detail/CVE-2025-5815CVE-2025-5950 : https://cvefeed.io/vuln/detail/CVE-2025-5950CVE-2025-5939 : https://cvefeed.io/vuln/detail/CVE-2025-5939CVE-2025-5841 : https://cvefeed.io/vuln/detail/CVE-2025-5841CVE-2025-5233 : https://cvefeed.io/vuln/detail/CVE-2025-5233CVE-2025-5123 : https://cvefeed.io/vuln/detail/CVE-2025-5123CVE-2025-5930 : https://cvefeed.io/vuln/detail/CVE-2025-5930CVE-2025-5928 : https://cvefeed.io/vuln/detail/CVE-2025-5928CVE-2025-5926 : https://cvefeed.io/vuln/detail/CVE-2025-5926 📞 Partagez vos remarques, questions ou expériences :📱 Répondeur : 07 68 72 20 09 📧 Email : [email protected] 🎧 Disponible sur : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com