CVE-2025-9988: Unauthorized Access in Broadstreet WordPress Plugin
Plateforme
wordpress
Composant
broadstreet
Corrigé dans
1.53.2
Le plugin Broadstreet pour WordPress présente une vulnérabilité d'accès non autorisé. Cette faille, due à l'absence d'une vérification de capacité sur l'action AJAX create_advertiser, permet à des attaquants authentifiés, disposant d'un accès de niveau Abonné ou supérieur, de créer des annonceurs sans autorisation appropriée. Les versions concernées sont celles allant de 0 à 1.53.1. La mise à jour vers la version 1.53.2 corrige cette vulnérabilité.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié, ayant un accès de niveau Abonné ou supérieur, de créer des annonceurs au sein du plugin Broadstreet. Cela peut entraîner une prise de contrôle partielle du site web, une manipulation des données des annonceurs, ou l'insertion de contenu malveillant via les publicités créées. Bien que l'impact direct soit limité à la fonctionnalité du plugin, une compromission réussie peut servir de tremplin pour des attaques plus larges sur le site WordPress, en particulier si l'attaquant parvient à obtenir des privilèges plus élevés.
Contexte d'Exploitation
La vulnérabilité CVE-2025-9988 a été publiée le 13 mai 2026. Sa probabilité d'exploitation est considérée comme moyenne. Il n'y a pas d'informations publiques disponibles concernant l'exploitation active de cette vulnérabilité à ce jour. Il est conseillé de surveiller les forums de sécurité et les flux d'informations sur les menaces pour détecter toute activité suspecte.
Renseignement sur les Menaces
Statut de l'Exploit
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Reserved
- Publiée
Mitigation et Contournements
La mitigation principale consiste à mettre à jour le plugin Broadstreet vers la version 1.53.2 ou supérieure, qui corrige la vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès à l'action create_advertiser via un plugin de sécurité WordPress ou en modifiant directement le code du plugin (avec prudence). Une solution temporaire pourrait consister à désactiver temporairement la fonctionnalité de création d'annonceurs jusqu'à la mise à jour. Après la mise à jour, vérifiez que les permissions des utilisateurs sont correctement configurées et que seuls les utilisateurs autorisés peuvent créer des annonceurs.
Comment corriger
Mettre à jour vers la version 1.53.2, ou une version corrigée plus récente
Questions fréquentes
Que signifie CVE-2025-9988 — accès non autorisé dans le plugin Broadstreet ?
CVE-2025-9988 décrit une faille de sécurité dans le plugin Broadstreet pour WordPress permettant à des utilisateurs authentifiés de créer des annonceurs sans autorisation. Cela peut compromettre la sécurité du site web.
Suis-je affecté par CVE-2025-9988 dans le plugin Broadstreet ?
Vous êtes affecté si vous utilisez le plugin Broadstreet pour WordPress dans une version comprise entre 0 et 1.53.1. Vérifiez votre version actuelle et mettez à jour si nécessaire.
Comment corriger CVE-2025-9988 dans le plugin Broadstreet ?
La solution est de mettre à jour le plugin Broadstreet vers la version 1.53.2 ou supérieure. Cela corrige la vulnérabilité d'accès non autorisé.
CVE-2025-9988 est-il activement exploité ?
À ce jour, il n'y a pas de preuves publiques d'exploitation active de CVE-2025-9988. Cependant, il est important de mettre à jour rapidement pour se prémunir contre d'éventuelles attaques futures.
Où puis-je trouver l'avis officiel du plugin Broadstreet pour CVE-2025-9988 ?
Consultez le site web du développeur du plugin Broadstreet ou le dépôt WordPress pour obtenir l'avis officiel et les instructions de mise à jour. Recherchez l'annonce concernant la version 1.53.2.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Scannez votre projet WordPress maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...