CVE-2025-9989: XSS dans le plugin Broadstreet pour WordPress
Plateforme
wordpress
Composant
broadstreet
Corrigé dans
1.53.2
Le plugin Broadstreet pour WordPress présente une vulnérabilité de Cross-Site Scripting (XSS) stockée. Cette faille permet à des attaquants authentifiés, disposant de privilèges d'administrateur ou supérieurs, d'injecter des scripts web arbitraires dans des pages. L'impact est limité aux installations multi-sites où l'option unfiltered_html est désactivée. La version corrigée est 1.53.2.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
Un attaquant exploitant cette vulnérabilité peut injecter du code JavaScript malveillant dans les paramètres d'administration du plugin Broadstreet. Ce code sera ensuite exécuté dans le navigateur de tout utilisateur accédant à la page compromise. Cela peut permettre à l'attaquant de voler des cookies de session, de rediriger les utilisateurs vers des sites malveillants, de modifier le contenu de la page ou d'effectuer d'autres actions malveillantes au nom de l'utilisateur authentifié. La vulnérabilité est particulièrement préoccupante dans les environnements multi-sites, car une seule compromission peut affecter plusieurs sites.
Contexte d'Exploitation
La vulnérabilité CVE-2025-9989 a été publiée le 12 mai 2026. Sa probabilité d'exploitation est considérée comme moyenne. Il n'y a pas d'informations disponibles concernant des campagnes d'exploitation actives ou des preuves publiques de Proof of Concept (POC) à ce jour. La vulnérabilité est référencée sur le site du NVD (National Vulnerability Database).
Renseignement sur les Menaces
Statut de l'Exploit
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Élevée — nécessite une condition de course, configuration non standard ou circonstances spécifiques.
- Privileges Required
- Élevé — un compte administrateur ou privilégié est requis.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
- Confidentiality
- Faible — accès partiel ou indirect à certaines données.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
Mitigation et Contournements
La mitigation principale consiste à mettre à jour le plugin Broadstreet vers la version 1.53.2 ou supérieure. Si la mise à jour n'est pas immédiatement possible, désactivez temporairement le plugin Broadstreet. En tant que mesure de contournement, assurez-vous que l'option unfiltered_html est désactivée dans les paramètres WordPress. Bien que cela puisse affecter certaines fonctionnalités, cela réduit considérablement le risque d'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez l'intégrité du plugin en comparant son hachage SHA256 avec celui fourni par le développeur.
Comment corriger
Mettre à jour vers la version 1.53.2, ou une version corrigée plus récente
Questions fréquentes
Que signifie CVE-2025-9989 — XSS dans le plugin Broadstreet pour WordPress ?
CVE-2025-9989 décrit une vulnérabilité de Cross-Site Scripting (XSS) stockée dans le plugin Broadstreet pour WordPress, permettant l'injection de scripts malveillants via les paramètres d'administration. Cette faille affecte les versions du plugin inférieures ou égales à 1.53.1.
Suis-je affecté par CVE-2025-9989 dans le plugin Broadstreet pour WordPress ?
Vous êtes affecté si vous utilisez le plugin Broadstreet pour WordPress et que vous avez une version inférieure ou égale à 1.53.1, et si votre installation est multi-site avec l'option unfiltered_html désactivée.
Comment corriger CVE-2025-9989 dans le plugin Broadstreet pour WordPress ?
Mettez à jour le plugin Broadstreet vers la version 1.53.2 ou supérieure. Si la mise à jour n'est pas possible, désactivez temporairement le plugin et assurez-vous que unfiltered_html est désactivé.
CVE-2025-9989 est-il activement exploité ?
À ce jour, il n'y a pas d'informations disponibles concernant des campagnes d'exploitation actives ou des preuves publiques de Proof of Concept (POC) pour CVE-2025-9989.
Où puis-je trouver l'avis officiel du plugin Broadstreet pour CVE-2025-9989 ?
Consultez le site du NVD (National Vulnerability Database) pour plus d'informations et les références aux avis du développeur : https://nvd.nist.gov/vuln/detail/CVE-2025-9989
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Scannez votre projet WordPress maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...