CVE-2025-9987: Information Disclosure in Broadstreet WordPress Plugin
Plateforme
wordpress
Composant
broadstreet
Corrigé dans
1.53.2
Le plugin Broadstreet pour WordPress présente une vulnérabilité de Divulgation d'informations. Cette faille permet à un attaquant authentifié, disposant d'un accès de niveau abonné ou supérieur, d'extraire des données sensibles, notamment des détails commerciaux protégés par mot de passe et privés. Les versions concernées sont celles inférieures ou égales à 1.53.1. La version 1.53.2 corrige cette vulnérabilité.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
Cette vulnérabilité permet à un attaquant authentifié, même avec un simple compte abonné, d'accéder à des informations confidentielles stockées dans le plugin Broadstreet. L'attaquant peut exploiter l'action AJAX getsponsoredmeta() pour récupérer des données qui devraient être protégées, telles que des détails commerciaux privés ou des informations financières. L'impact est significatif car cela peut conduire à la divulgation de données sensibles, compromettant la confidentialité des informations commerciales et potentiellement la réputation de l'entreprise. Bien que nécessitant une authentification, la faible exigence d'accès (abonné) élargit la surface d'attaque et rend l'exploitation plus probable.
Contexte d'Exploitation
La vulnérabilité a été publiée le 12 mai 2026. La probabilité d'exploitation est considérée comme modérée (CVSS 5.3). Aucune preuve d'exploitation active n'est actuellement disponible, mais la simplicité de l'exploitation potentielle, combinée à la popularité du plugin Broadstreet, pourrait en faire une cible attractive pour les attaquants. Il est recommandé de surveiller les forums de sécurité et les flux d'informations sur les menaces pour détecter toute activité suspecte.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Faible — accès partiel ou indirect à certaines données.
- Integrity
- Aucun — aucun impact sur l'intégrité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à jour le plugin Broadstreet vers la version 1.53.2 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès à l'action AJAX getsponsoredmeta() via un pare-feu d'application web (WAF) ou un plugin de sécurité WordPress. Assurez-vous que les permissions des utilisateurs WordPress sont correctement configurées pour limiter l'accès aux données sensibles. Vérifiez après la mise à jour que l'action AJAX getsponsoredmeta() ne renvoie plus les données sensibles en effectuant une requête manuelle via un outil comme curl et en analysant la réponse.
Comment corriger
Mettre à jour vers la version 1.53.2, ou une version corrigée plus récente
Questions fréquentes
Que signifie CVE-2025-9987 — Divulgation d'informations dans le plugin Broadstreet ?
CVE-2025-9987 décrit une vulnérabilité permettant à un attaquant authentifié d'extraire des données sensibles du plugin Broadstreet pour WordPress. Cette faille affecte les versions inférieures ou égales à 1.53.1.
Suis-je affecté par CVE-2025-9987 dans le plugin Broadstreet ?
Vous êtes affecté si vous utilisez le plugin Broadstreet pour WordPress en version 1.53.1 ou inférieure. Vérifiez la version installée et mettez à jour si nécessaire.
Comment corriger CVE-2025-9987 dans le plugin Broadstreet ?
La correction consiste à mettre à jour le plugin Broadstreet vers la version 1.53.2 ou supérieure. Si la mise à jour n'est pas possible immédiatement, appliquez des mesures de mitigation temporaires comme la restriction de l'accès à l'action AJAX.
CVE-2025-9987 est-il activement exploité ?
À l'heure actuelle, aucune preuve d'exploitation active n'est disponible, mais la vulnérabilité est considérée comme potentiellement exploitable en raison de sa simplicité et de la popularité du plugin.
Où puis-je trouver l'avis officiel du plugin Broadstreet pour CVE-2025-9987 ?
Consultez le site web du développeur du plugin Broadstreet ou le dépôt GitHub officiel pour obtenir l'avis de sécurité correspondant à CVE-2025-9987.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Scannez votre projet WordPress maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...