Plateforme
wordpress
Composant
user-importer-and-generator
Corrigé dans
1.2.3
Le plugin User Generator and Importer pour WordPress présente une vulnérabilité de Cross-Site Request Forgery (CSRF) qui permet une élévation de privilèges. Cette faille, due à un manque de validation nonce dans la fonction "Import Using CSV File", permet à des attaquants non authentifiés de créer des comptes administrateur arbitraires. Les versions affectées sont les 1.0.0 à 1.2.2 incluses. Une mise à jour vers une version corrigée est recommandée.
Cette vulnérabilité CSRF permet à un attaquant de créer de nouveaux comptes utilisateur avec des privilèges d'administrateur sans authentification préalable. L'attaquant peut ainsi prendre le contrôle du site WordPress en créant un compte administrateur à sa guise. L'impact est significatif car il permet une prise de contrôle complète du site, y compris la modification de contenu, l'installation de logiciels malveillants et l'accès aux données sensibles. Une attaque réussie pourrait compromettre l'intégrité et la confidentialité des données du site et de ses utilisateurs. Bien qu'il n'y ait pas de rapports d'exploitation active connus, la simplicité de l'exploitation CSRF rend cette vulnérabilité particulièrement préoccupante.
Cette vulnérabilité a été rendue publique le 2025-12-05. Elle n'est pas répertoriée sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation CSRF et de la popularité du plugin. Des preuves de concept (PoC) pourraient être développées et publiées rapidement, augmentant le risque d'exploitation.
WordPress sites using the User Generator and Importer plugin in versions 1.0.0 through 1.2.2 are at risk. Shared hosting environments that utilize this plugin are particularly vulnerable, as they may not have the ability to quickly update plugins or implement custom security measures. Sites with a large number of administrators are also at increased risk, as the likelihood of an administrator clicking on a malicious link increases.
• wordpress: Use wp-cli to check the plugin version:
wp plugin list --status=active | grep 'User Generator and Importer'• wordpress: Search plugin files for the vulnerable function: grep -r "Import Using CSV File" /path/to/wordpress/wp-content/plugins/user-generator-and-importer/
• generic web: Monitor access logs for requests to the import endpoint with unusual parameters or originating from unexpected IP addresses.
• generic web: Check response headers for the presence of a strong Content Security Policy (CSP) header.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin User Generator and Importer vers une version corrigée dès que possible. En attendant la mise à jour, des mesures de mitigation temporaires peuvent être appliquées. Il est recommandé d'activer un plugin de sécurité WordPress qui offre une protection CSRF, ou de configurer un Web Application Firewall (WAF) pour bloquer les requêtes CSRF malveillantes. Vérifiez également les logs du serveur pour détecter toute tentative de création de compte administrateur suspecte. Après la mise à jour, vérifiez que la fonction "Import Using CSV File" nécessite une authentification appropriée et utilise des nonces pour prévenir les attaques CSRF.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-12879 is a Cross-Site Request Forgery (CSRF) vulnerability in the WordPress User Generator and Importer plugin, allowing attackers to create administrator accounts without authentication.
You are affected if you are using the User Generator and Importer plugin in versions 1.0.0–1.2.2. Upgrade to a patched version as soon as it becomes available.
Upgrade the User Generator and Importer plugin to a version that addresses the vulnerability. Until a patch is available, implement CSP headers and monitor user creation activity.
While no active exploitation has been confirmed, the ease of exploitation suggests it is likely to be targeted. Monitor your systems closely.
Refer to the WordPress plugin repository and security announcements for updates regarding this vulnerability.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.