WordPress WP-CalDav2ICS plugin <= 1.3.4 - Vulnérabilité Cross Site Request Forgery (CSRF)
Plateforme
wordpress
Composant
wp-caldav2ics
Corrigé dans
1.3.5
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WP-CalDav2ICS pour WordPress. Cette faille permet à un attaquant d'exploiter une XSS stockée, compromettant potentiellement la sécurité des données et des utilisateurs. Elle affecte les versions du plugin de 0.0.0 à 1.3.4 incluses. Une mise à jour vers une version corrigée est recommandée.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
L'exploitation réussie de cette vulnérabilité CSRF/XSS permet à un attaquant d'injecter du code JavaScript malveillant dans le site WordPress. Ce code peut être exécuté dans le contexte du navigateur de l'utilisateur, permettant à l'attaquant de voler des cookies de session, de modifier le contenu du site web, de rediriger les utilisateurs vers des sites malveillants ou d'effectuer d'autres actions au nom de l'utilisateur. Le risque est accru si l'utilisateur possède des privilèges d'administrateur sur le site WordPress, car l'attaquant pourrait alors prendre le contrôle total du site. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans nécessiter d'authentification préalable, rendant un large éventail de sites WordPress potentiellement vulnérables.
Contexte d'Exploitation
Cette vulnérabilité a été rendue publique le 30 décembre 2025. Il n'y a pas d'indications d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature CSRF et de la disponibilité potentielle de preuves de concept. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
Qui Est à Risquetraduction en cours…
Websites using the WP-CalDav2ICS plugin, particularly those running older, unpatched versions (0.0.0–1.3.4), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
Étapes de Détectiontraduction en cours…
• wordpress / composer / npm:
grep -r "wp-caldav2ics" /var/www/html/
wp plugin list | grep WP-CalDav2ICS• generic web:
curl -I https://example.com/wp-content/plugins/wp-caldav2ics/ | grep -i 'wp-caldav2ics'Chronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
- Scope
- Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
- Confidentiality
- Faible — accès partiel ou indirect à certaines données.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Faible — déni de service partiel ou intermittent.
Logiciel Affecté
Informations sur le paquet
- Installations actives
- 200
- Note du plugin
- 5.0
- Nécessite WordPress
- 4.4+
- Compatible jusqu'à
- 6.1.10
- Nécessite PHP
- 5.6+
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à jour le plugin WP-CalDav2ICS vers une version corrigée dès que possible. En attendant la mise à jour, il est possible de limiter l'impact en appliquant des mesures de sécurité supplémentaires. Il est recommandé de désactiver temporairement le plugin si la mise à jour n'est pas immédiatement disponible. L'utilisation d'un plugin de sécurité WordPress capable de détecter et de bloquer les attaques CSRF peut également aider à atténuer le risque. Vérifiez après la mise à jour que le plugin est correctement mis à jour et qu'il n’y a pas de conflits avec d’autres plugins ou thèmes.
Comment corriger
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentestraduction en cours…
What is CVE-2025-59131 — CSRF in WP-CalDav2ICS WordPress Plugin?
CVE-2025-59131 is a Cross-Site Request Forgery (CSRF) vulnerability in the WP-CalDav2ICS WordPress plugin, allowing for Stored XSS attacks.
Am I affected by CVE-2025-59131 in WP-CalDav2ICS WordPress Plugin?
You are affected if you are using WP-CalDav2ICS versions 0.0.0 through 1.3.4. Upgrade to a patched version as soon as it becomes available.
How do I fix CVE-2025-59131 in WP-CalDav2ICS WordPress Plugin?
Upgrade the WP-CalDav2ICS plugin to the latest available version. Until then, restrict access and implement a Content Security Policy (CSP).
Is CVE-2025-59131 being actively exploited?
Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the fix promptly.
Where can I find the official WP-CalDav2ICS advisory for CVE-2025-59131?
Check the WP-CalDav2ICS plugin page on WordPress.org or the developer's website for updates and advisories.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.