Plateforme
wordpress
Composant
web-to-sugarcrm-lead
Corrigé dans
1.0.1
Le plugin Web to SugarCRM Lead pour WordPress présente une vulnérabilité Cross-Site Request Forgery (CSRF) dans toutes les versions jusqu'à et incluant 1.0.0. Cette faille est due à l'absence de validation nonce sur la fonctionnalité de suppression de champs personnalisés. La mise à jour vers la version 1.0.1 corrige ce problème. Cette vulnérabilité permet à des attaquants non authentifiés de supprimer des champs personnalisés.
Un attaquant peut exploiter cette vulnérabilité CSRF pour supprimer des champs personnalisés du plugin Web to SugarCRM Lead. Cela peut entraîner une perte de données, une perturbation du fonctionnement du plugin et potentiellement affecter l'intégration avec SugarCRM. L'attaquant doit inciter un administrateur du site à cliquer sur un lien malveillant contenant la requête forgée. La suppression de champs personnalisés peut impacter la collecte et la gestion des leads, rendant le plugin inutilisable ou fournissant des données incomplètes.
Cette vulnérabilité a été publiée le 21 décembre 2025. Il n'y a pas d'indication d'exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est connu. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC et d'exploitation confirmée.
Websites utilizing the Web to SugarCRM Lead plugin for WordPress integration, particularly those with shared administrator accounts or those that are frequently targeted by phishing attacks, are at risk. Sites with custom fields critical to their SugarCRM data synchronization are especially vulnerable.
• wordpress / composer / npm:
grep -r 'delete_custom_field' /var/www/wordpress/wp-content/plugins/web-to-sugar-crm-lead/• wordpress / composer / npm:
wp plugin list --status=active | grep 'web-to-sugar-crm-lead'• generic web: Check WordPress plugin directory for updates and security advisories related to the Web to SugarCRM Lead plugin. • generic web: Review WordPress access logs for suspicious POST requests targeting custom field deletion endpoints.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour le plugin Web to SugarCRM Lead vers la version 1.0.1 ou supérieure, qui corrige cette vulnérabilité. En attendant, il est recommandé d'implémenter des mesures de protection supplémentaires. Utilisez un Web Application Firewall (WAF) pour bloquer les requêtes CSRF suspectes. Vérifiez régulièrement les logs du serveur WordPress et du plugin pour détecter toute activité suspecte, notamment des tentatives de suppression de champs personnalisés. Si la mise à jour est problématique, envisagez de restaurer une sauvegarde antérieure du plugin et des données associées.
Mettre à jour vers la version 1.0.1, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13361 décrit une vulnérabilité Cross-Site Request Forgery (CSRF) dans le plugin Web to SugarCRM Lead pour WordPress, permettant à un attaquant de supprimer des champs personnalisés via une requête forgée.
Oui, si vous utilisez le plugin Web to SugarCRM Lead dans une version inférieure à 1.0.1, vous êtes affecté par cette vulnérabilité CSRF.
La solution est de mettre à jour le plugin Web to SugarCRM Lead vers la version 1.0.1 ou supérieure. En attendant, utilisez un WAF et surveillez les logs.
À ce jour, il n'y a aucune indication d'exploitation active de CVE-2025-13361, mais il est important de corriger la vulnérabilité pour éviter de futures attaques.
Consultez le site web de SugarCRM ou le dépôt du plugin Web to SugarCRM Lead sur WordPress.org pour obtenir l'avis officiel et les instructions de mise à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.