Plateforme
wordpress
Composant
mtcaptcha
Corrigé dans
2.7.3
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WordPress MTCaptcha, affectant les versions de 0.0.0 à 2.7.2. Cette faille permet à un attaquant non authentifié de modifier les paramètres du plugin, potentiellement compromettant des informations sensibles telles que la clé privée. La mise à jour vers la version 2.7.3 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant de modifier les paramètres du plugin MTCaptcha sans autorisation. Cela peut inclure la modification de la clé privée, ce qui pourrait permettre à l'attaquant de contourner la protection du captcha et d'effectuer des actions malveillantes sur le site web. L'impact est aggravé si la clé privée est compromise, car elle pourrait être utilisée pour accéder à des données sensibles ou pour compromettre d'autres systèmes. Un attaquant pourrait également modifier d'autres paramètres du plugin pour perturber le fonctionnement du site web ou pour rediriger les utilisateurs vers des sites malveillants.
Cette vulnérabilité a été rendue publique le 7 janvier 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est connu. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Websites utilizing the MTCaptcha WordPress plugin, particularly those with shared hosting environments where multiple administrators may have access. Legacy systems running older WordPress installations are also at increased risk, as they may not be regularly updated with the latest security patches.
• wordpress / composer / npm:
grep -r 'MTCaptcha/includes/settings.php' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep MTCaptcha• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress plugin directory for version 2.7.3 or higher.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 3%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin MTCaptcha vers la version 2.7.3 ou supérieure, qui corrige la vulnérabilité CSRF. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le plugin ou de restreindre l'accès aux pages de configuration du plugin aux administrateurs de confiance. En attendant la mise à jour, l'implémentation de règles WAF (Web Application Firewall) pour bloquer les requêtes CSRF suspectes peut offrir une protection supplémentaire. Vérifiez après la mise à jour que les paramètres du plugin sont corrects et qu'il n'y a pas de modifications non autorisées.
Aucun correctif connu n'est disponible. Veuillez examiner en détail les informations relatives à la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13520 décrit une vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin WordPress MTCaptcha, permettant à un attaquant de modifier les paramètres du plugin sans autorisation.
Si vous utilisez le plugin MTCaptcha dans une version inférieure à 2.7.3, vous êtes potentiellement affecté par cette vulnérabilité.
La solution est de mettre à jour le plugin MTCaptcha vers la version 2.7.3 ou supérieure. Si la mise à jour n'est pas possible, désactivez temporairement le plugin.
À l'heure actuelle, il n'y a aucune indication d'une exploitation active de cette vulnérabilité, mais il est important de la corriger rapidement.
Consultez le site web du plugin MTCaptcha ou le dépôt WordPress pour obtenir les dernières informations et l'avis officiel concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.