Plateforme
wordpress
Composant
xstore
Corrigé dans
9.5.5
La vulnérabilité CVE-2025-11746 est une faille de Local File Inclusion (LFI) découverte dans le thème XStore pour WordPress. Cette faille permet à un attaquant authentifié, disposant d'un accès de niveau Abonné ou supérieur, d'inclure et d'exécuter des fichiers .php arbitraires sur le serveur. Les versions concernées sont celles comprises entre 0.0.0 et 9.5.4 incluses, et la correction est disponible dans la version 9.5.5.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code PHP arbitraire sur le serveur WordPress. Cela peut conduire à la compromission complète du site web, y compris le vol de données sensibles (informations utilisateur, données de configuration, etc.), la modification du contenu du site, ou l'installation de portes dérobées permettant un accès futur. La capacité d'inclure des fichiers arbitraires contourne les mécanismes de contrôle d'accès, rendant le serveur vulnérable à des attaques plus sophistiquées. Si des fichiers .php peuvent être téléchargés et inclus, l'attaquant peut potentiellement prendre le contrôle total du serveur.
La vulnérabilité CVE-2025-11746 a été publiée le 15 octobre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur le KEV (Know Exploited Vulnerabilities) de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, augmentant le risque d'exploitation. Il est donc crucial de mettre en œuvre les mesures de mitigation dès que possible.
Websites using the XStore WordPress theme, particularly those with file upload functionality enabled, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unaware of the outdated theme version or lack the ability to perform updates.
• wordpress / composer / npm:
grep -r 'et_ajax_required_plugins_popup()' /var/www/html/wp-content/themes/xstore/• wordpress / composer / npm:
wp plugin list | grep xstore• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fdisclosure
Statut de l'Exploit
EPSS
0.15% (percentile 36%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le thème XStore vers la version 9.5.5 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès au répertoire du thème et de désactiver temporairement la fonction etajaxrequiredpluginspopup(). Envisagez également de mettre en place des règles WAF (Web Application Firewall) pour bloquer les requêtes suspectes ciblant cette fonction. Une vérification après la mise à jour doit confirmer que la vulnérabilité est corrigée en tentant d'accéder à un fichier non autorisé via la fonction concernée et en s'assurant qu'une erreur est renvoyée.
Actualice el tema XStore a la versión 9.5.5 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique la fuente de los archivos incluidos para evitar la ejecución de código malicioso. Implemente controles de acceso más estrictos para limitar el acceso a funciones sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-11746 is a Local File Inclusion vulnerability in the XStore WordPress theme, allowing authenticated attackers to execute arbitrary PHP code.
You are affected if you are using XStore WordPress theme versions 0.0.0 through 9.5.4.
Upgrade the XStore WordPress theme to version 9.5.5 or later. Consider WAF rules and file upload restrictions as temporary mitigations.
While no widespread exploitation has been confirmed, the vulnerability's nature suggests potential for exploitation, and monitoring is advised.
Refer to the XStore theme developer's website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.