Plateforme
wordpress
Composant
wp-change-status-notifier
Corrigé dans
1.0.1
La vulnérabilité CVE-2025-13521 affecte le plugin WP Status Notifier pour WordPress. Cette faille de type Cross-Site Request Forgery (XSRF) permet à un attaquant non authentifié de modifier les paramètres du plugin. Les versions concernées sont les versions 1.0.0 à 1.0 incluses. Une correction est disponible et son application est recommandée.
Un attaquant peut exploiter cette vulnérabilité XSRF en créant une requête malveillante et en incitant un administrateur du site à la soumettre. Cela pourrait permettre à l'attaquant de modifier les paramètres du plugin WP Status Notifier, potentiellement compromettant la configuration du site WordPress. Les modifications pourraient inclure la modification des paramètres de notification, l'ajout de code malveillant ou la redirection des utilisateurs vers des sites malveillants. Bien que l'impact direct soit limité au plugin lui-même, une compromission réussie pourrait servir de tremplin pour des attaques plus larges sur le site WordPress.
Cette vulnérabilité a été rendue publique le 2026-01-07. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'a été identifié. La vulnérabilité n'est pas répertoriée sur le KEV de CISA.
WordPress websites utilizing the WP Status Notifier plugin, particularly those with multiple administrators or shared hosting environments, are at increased risk. Sites where administrators frequently click on links from untrusted sources are also more vulnerable. Legacy WordPress installations with outdated security practices are especially susceptible.
• wordpress / composer / npm:
grep -r 'wp_status_notifier_settings_update' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-status-notifier'• wordpress / composer / npm:
wp plugin auto-update --alldisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 3%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin WP Status Notifier vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de désactiver temporairement le plugin si possible. En alternative, l'ajout de protections XSRF au niveau du serveur web (par exemple, en configurant correctement les en-têtes HTTP) peut aider à atténuer le risque. Vérifiez après la mise à jour que les paramètres du plugin sont conformes à la configuration souhaitée.
Aucune correction connue n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13521 est une vulnérabilité XSRF dans le plugin WP Status Notifier pour WordPress, permettant à un attaquant de modifier les paramètres du plugin via une requête forgée.
Vous êtes affecté si vous utilisez le plugin WP Status Notifier dans une version comprise entre 1.0.0 et 1.0 incluses.
Mettez à jour le plugin WP Status Notifier vers la dernière version disponible. Si la mise à jour n'est pas possible, désactivez temporairement le plugin ou appliquez des protections XSRF au niveau du serveur web.
À ce jour, il n'y a aucune indication d'une exploitation active de CVE-2025-13521.
Consultez le site web de WordPress pour les avis de sécurité concernant les plugins : [https://wpscan.com/scan/162639](https://wpscan.com/scan/162639)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.