Plateforme
wordpress
Composant
helpdesk-contact-form
Corrigé dans
1.1.6
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin HelpDesk Contact Form pour WordPress. Cette faille, présente dans les versions de 0.0.0 à 1.1.5 incluses, est due à une validation incorrecte des jetons de protection (nonce) dans la fonction handlequeryargs(). Elle permet à un attaquant non authentifié de modifier les paramètres de licence et de formulaire du plugin en induisant un administrateur à effectuer une action malveillante, comme cliquer sur un lien spécialement conçu.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant de modifier les paramètres de configuration du plugin HelpDesk Contact Form sans nécessiter d'authentification. Cela peut inclure la modification de l'ID de licence, ce qui pourrait entraîner des problèmes de facturation ou de fonctionnalités. De plus, l'attaquant peut modifier l'ID du formulaire de contact, potentiellement redirigeant les soumissions vers un autre endroit ou modifiant le comportement du formulaire. Bien que l'impact direct soit limité à la configuration du plugin, une compromission réussie pourrait servir de tremplin pour d'autres attaques sur le site WordPress, en particulier si l'administrateur est victime d'ingénierie sociale.
Cette vulnérabilité a été rendue publique le 7 janvier 2026. Il n'y a pas d'indications d'exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est actuellement disponible, ce qui limite le risque d'exploitation à court terme. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de la CISA.
WordPress sites utilizing the HelpDesk Contact Form plugin, particularly those with shared hosting environments or where administrators are routinely tricked into clicking on links from untrusted sources, are at increased risk. Sites with legacy WordPress configurations or those lacking robust security practices are also more vulnerable.
• wordpress / composer / npm:
grep -r 'handle_query_args' /var/www/html/wp-content/plugins/helpdesk-contact-form/• wordpress / composer / npm:
wp plugin list --status=all | grep 'helpdesk-contact-form'• wordpress / composer / npm:
wp plugin update helpdesk-contact-form --alldisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 3%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour le plugin HelpDesk Contact Form vers la version 1.1.6 ou ultérieure, qui corrige cette vulnérabilité. En attendant, des mesures de protection peuvent être mises en place. Il est fortement recommandé d'activer l'authentification à deux facteurs (2FA) pour tous les comptes d'administrateur WordPress afin de réduire le risque d'ingénierie sociale. De plus, l'utilisation d'un pare-feu applicatif web (WAF) peut aider à bloquer les requêtes CSRF malveillantes. Enfin, examinez attentivement tous les liens et les formulaires avant de les soumettre, en particulier ceux provenant de sources inconnues.
Mettre à jour vers la version 1.1.6, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13657 décrit une vulnérabilité CSRF dans le plugin HelpDesk Contact Form pour WordPress, permettant à un attaquant de modifier les paramètres du plugin sans authentification.
Vous êtes affecté si vous utilisez le plugin HelpDesk Contact Form dans les versions 0.0.0 à 1.1.5 incluses. Mettez à jour vers la version 1.1.6 pour corriger la vulnérabilité.
La solution est de mettre à jour le plugin HelpDesk Contact Form vers la version 1.1.6 ou ultérieure. En attendant, appliquez des mesures de protection comme 2FA et un WAF.
À ce jour, il n'y a aucune indication d'exploitation active de cette vulnérabilité, mais il est important de la corriger rapidement.
Consultez le site web de WordPress pour les avis de sécurité et les mises à jour du plugin HelpDesk Contact Form.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.