Plateforme
wordpress
Composant
wp-foodbakery
Corrigé dans
4.7.1
La vulnérabilité CVE-2025-0180 concerne une élévation de privilèges critique dans le plugin WordPress WP Foodbakery. Cette faille permet à un attaquant non authentifié de contourner les contrôles d'accès et de s'inscrire sur le site en tant qu'administrateur. Elle affecte toutes les versions du plugin jusqu'à la 4.7 inclusive. Une mise à jour vers la dernière version est fortement recommandée.
L'impact de cette vulnérabilité est significatif. Un attaquant exploitant avec succès cette faille peut obtenir un contrôle total sur le site WordPress, y compris l'accès à toutes les données sensibles, la modification du contenu, l'installation de logiciels malveillants et la compromission d'autres systèmes connectés. L'attaquant peut également utiliser le site compromis pour lancer des attaques contre d'autres cibles. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite aucune authentification préalable, rendant l'exploitation relativement simple.
Cette vulnérabilité a été publiée le 11 février 2025. Il n'y a pas d'indication d'exploitation active à ce jour, mais la simplicité de l'exploitation suggère qu'elle pourrait être rapidement exploitée. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA. Des preuves de concept publiques sont susceptibles d'émerger rapidement.
Websites using the WP Foodbakery plugin, particularly those with open user registration enabled, are at significant risk. Shared hosting environments where plugin updates are not managed by the website owner are also especially vulnerable. Sites relying on WP Foodbakery for critical functionality or storing sensitive user data face the highest potential impact.
• wordpress / composer / npm:
grep -r 'update_user_meta' /var/www/html/wp-content/plugins/wp-foodbakery/• wordpress / composer / npm:
wp plugin list --status=all | grep wp-foodbakery• wordpress / composer / npm:
wp plugin update wp-foodbakery --alldisclosure
Statut de l'Exploit
EPSS
0.43% (percentile 62%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour immédiatement le plugin WP Foodbakery vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, envisagez de désactiver temporairement le plugin pour empêcher de nouvelles inscriptions. Il n'existe pas de correctifs spécifiques côté serveur ou WAF pour cette vulnérabilité, la mise à jour du plugin étant la seule solution efficace. Après la mise à jour, vérifiez les journaux d'activité WordPress pour détecter toute activité suspecte.
Mettez à jour le plugin WP Foodbakery à la dernière version disponible pour atténuer la vulnérabilité d'escalade de privilèges. Assurez-vous de réaliser une sauvegarde complète de votre site web avant de mettre à jour tout plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-0180 is a critical vulnerability in the WP Foodbakery WordPress plugin allowing unauthenticated users to register as administrators. It impacts versions 0.0.0–4.7 due to improper user meta restrictions.
If you are using WP Foodbakery version 0.0.0 through 4.7, you are affected by this vulnerability. Check your plugin version immediately.
Upgrade the WP Foodbakery plugin to the latest available version. If upgrading is not possible, implement temporary workarounds like restricting user registration.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a potential target for attackers. Continuous monitoring is advised.
Refer to the WP Foodbakery plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.