LEAV Last Email Address Validator <= 1.7.1 - Cross-Site Request Forgery pour la mise à jour des paramètres du plugin
Plateforme
wordpress
Composant
last-email-address-validator
Corrigé dans
1.7.2
La vulnérabilité CVE-2025-14853 affecte le plugin LEAV Last Email Address Validator pour WordPress, dans les versions inférieures ou égales à 1.7.1. Cette faille de type Cross-Site Request Forgery (XSRF) permet à un attaquant non authentifié de modifier les paramètres du plugin. L'absence de validation correcte des jetons nonce dans la fonction displaysettingspage est la cause principale. Une mise à jour vers la dernière version est recommandée.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
Un attaquant peut exploiter cette vulnérabilité XSRF pour modifier les paramètres de configuration du plugin LEAV Last Email Address Validator. Cela pourrait potentiellement compromettre la fonctionnalité du plugin, altérer le comportement du site web, ou même permettre à l'attaquant de collecter des informations sensibles. L'attaquant doit inciter un administrateur du site à cliquer sur un lien malveillant contenant la requête forgée. Bien que l'impact direct puisse sembler limité, la modification des paramètres du plugin pourrait avoir des conséquences imprévues sur le fonctionnement du site et la gestion des adresses e-mail.
Contexte d'Exploitation
Cette vulnérabilité a été publiée le 16 janvier 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucune preuve de PoC publique n'est actuellement disponible, mais la nature de la vulnérabilité XSRF la rend potentiellement exploitable. La vulnérabilité n'est pas répertoriée sur le KEV de CISA.
Qui Est à Risquetraduction en cours…
WordPress sites utilizing the LEAV Last Email Address Validator plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources could also be affected if one site is compromised.
Étapes de Détectiontraduction en cours…
• wordpress / composer / npm:
grep -r 'display_settings_page' /var/www/html/wp-content/plugins/leav-last-email-address-validator/• wordpress / composer / npm:
wp plugin list --status=inactive | grep leav-last-email-address-validator• wordpress / composer / npm:
wp plugin update --allChronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La solution principale consiste à mettre à jour le plugin LEAV Last Email Address Validator vers la dernière version disponible, qui corrige cette vulnérabilité XSRF. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des utilisateurs et en sensibilisant les administrateurs aux risques de phishing. L'implémentation de mesures de sécurité supplémentaires, telles que l'utilisation de jetons CSRF robustes et la validation rigoureuse des entrées utilisateur, peut également aider à atténuer le risque. Après la mise à jour, vérifiez que les paramètres du plugin sont corrects et qu'il fonctionne comme prévu.
Comment corriger
Aucun correctif connu n'est disponible. Veuillez examiner attentivement les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Que signifie CVE-2025-14853 — XSRF dans LEAV Last Email Address Validator ?
CVE-2025-14853 décrit une vulnérabilité de type Cross-Site Request Forgery (XSRF) dans le plugin LEAV Last Email Address Validator pour WordPress, permettant à un attaquant de modifier les paramètres du plugin sans authentification.
Suis-je affecté par CVE-2025-14853 dans LEAV Last Email Address Validator ?
Vous êtes affecté si vous utilisez LEAV Last Email Address Validator dans une version inférieure ou égale à 1.7.1. Vérifiez votre version et mettez à jour si nécessaire.
Comment corriger CVE-2025-14853 dans LEAV Last Email Address Validator ?
La solution recommandée est de mettre à jour le plugin vers la dernière version disponible. En attendant, renforcez la sécurité avec des mesures de protection contre le phishing.
CVE-2025-14853 est-il activement exploité ?
À ce jour, il n'y a aucune indication d'exploitation active, mais la vulnérabilité est potentiellement exploitable.
Où puis-je trouver l'avis officiel de LEAV Last Email Address Validator pour CVE-2025-14853 ?
Consultez le site web du plugin ou le dépôt WordPress pour l'avis officiel concernant cette vulnérabilité.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.