Plateforme
wordpress
Composant
xshare
Corrigé dans
1.0.2
La vulnérabilité CVE-2025-13527 affecte le plugin xShare pour WordPress. Elle se manifeste par une faille de Cross-Site Request Forgery (CSRF) permettant à un attaquant non authentifié de réinitialiser les paramètres du plugin. Cette vulnérabilité touche les versions 1.0.0 à 1.0.1. Une mise à jour vers une version corrigée est recommandée.
Cette vulnérabilité CSRF permet à un attaquant de manipuler les paramètres du plugin xShare sans nécessiter d'authentification. L'attaquant peut, par exemple, créer une page web malveillante contenant un lien ou un formulaire qui, lorsqu'il est visité par un administrateur du site, déclenche la réinitialisation des paramètres du plugin. Cela peut entraîner une perte de configuration, des modifications non autorisées ou d'autres conséquences imprévisibles. Le risque est amplifié si l'administrateur du site est régulièrement victime d'attaques de phishing ou s'il clique sur des liens suspects.
La vulnérabilité a été rendue publique le 2026-01-07. Il n'y a pas d'indications d'exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est connu. La vulnérabilité n'est pas répertoriée sur le KEV de CISA.
WordPress websites utilizing the xShare plugin, particularly those with shared hosting environments or legacy configurations where user access controls may be less stringent, are at increased risk. Site administrators who routinely click on links from untrusted sources are also more vulnerable.
• wordpress / composer / npm:
grep -r 'xshare_plugin_reset()' /var/www/html/wp-content/plugins/xshare/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=xshare_plugin_reset&nonce=dummy | grep -i '200 ok'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 3%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour le plugin xShare vers une version corrigée dès que celle-ci sera disponible. En attendant, plusieurs mesures de mitigation peuvent être appliquées. Il est possible d'ajouter des règles de pare-feu applicatif (WAF) pour bloquer les requêtes CSRF suspectes. De plus, il est recommandé de renforcer les politiques de sécurité du site WordPress, notamment en exigeant une authentification à deux facteurs pour les administrateurs. Enfin, une surveillance accrue des journaux d'accès et d'erreurs peut aider à détecter les tentatives d'exploitation de cette vulnérabilité.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13527 décrit une vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin xShare pour WordPress, permettant à un attaquant de réinitialiser les paramètres du plugin sans authentification.
Si vous utilisez le plugin xShare pour WordPress dans les versions 1.0.0 à 1.0.1, vous êtes potentiellement affecté par cette vulnérabilité.
La solution recommandée est de mettre à jour le plugin xShare vers la dernière version disponible. En attendant, appliquez des mesures de mitigation comme un WAF et une authentification à deux facteurs.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de cette vulnérabilité, mais la vigilance est de mise.
Consultez le site web officiel de xShare ou le dépôt GitHub du plugin pour obtenir des informations et des mises à jour concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.