Plateforme
wordpress
Composant
clearfy
Corrigé dans
2.5.4
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Clearfy Cache – WordPress optimization plugin, Minify HTML, CSS & JS, Defer pour WordPress. Cette faille permet à un attaquant non authentifié de désactiver les notifications de mise à jour du plugin ou du thème en créant une requête forgée, à condition de pouvoir inciter un administrateur du site à effectuer une action. Les versions affectées sont celles comprises entre 0.0.0 et 2.4.0 inclus.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant de manipuler les paramètres du plugin Clearfy Cache sans l'autorisation de l'administrateur. Plus précisément, l'attaquant peut désactiver les notifications de mise à jour, empêchant ainsi l'administrateur de prendre connaissance des correctifs de sécurité importants. Bien que cela ne permette pas une prise de contrôle directe du site, cela peut entraîner une exposition prolongée à d'autres vulnérabilités non corrigées. Un attaquant pourrait également utiliser cette vulnérabilité en conjonction avec d'autres faiblesses pour obtenir un accès plus large au site WordPress.
Cette vulnérabilité a été rendue publique le 9 janvier 2026. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'a été identifié. La vulnérabilité n'est pas répertoriée sur le KEV de CISA.
WordPress websites using the Clearfy Cache plugin, particularly those running versions 0.0.0 through 2.4.0, are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromised website could potentially be used to target other sites on the same server.
• wordpress / composer / npm:
grep -r 'wbcr_upm_change_flag' /var/www/html/wp-content/plugins/clearfy-cache/• wordpress / composer / npm:
wp plugin list --status=all | grep clearfy-cache• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/clearfy-cache/readme.txt | grep Versiondisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 3%)
CISA SSVC
Vecteur CVSS
La solution la plus simple et recommandée est de mettre à jour le plugin Clearfy Cache vers la version 2.4.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de protection contre les attaques CSRF, telles que l'implémentation de tokens CSRF sur les formulaires sensibles. L'utilisation d'un Web Application Firewall (WAF) configuré pour bloquer les requêtes CSRF peut également aider à atténuer le risque. Vérifiez après la mise à jour que les notifications de mise à jour sont correctement activées et que le plugin fonctionne comme prévu.
Mettre à jour vers la version 2.4.1, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13749 décrit une vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin Clearfy Cache pour WordPress, permettant à un attaquant de manipuler les paramètres du plugin sans autorisation.
Si vous utilisez le plugin Clearfy Cache pour WordPress dans les versions 0.0.0 à 2.4.0, vous êtes potentiellement affecté par cette vulnérabilité.
La solution recommandée est de mettre à jour le plugin Clearfy Cache vers la version 2.4.1 ou supérieure. En attendant, appliquez des mesures de protection CSRF.
À ce jour, il n'y a aucune indication d'une exploitation active de cette vulnérabilité.
Consultez le site web de Clearfy Cache ou le dépôt GitHub du plugin pour obtenir les informations les plus récentes sur cette vulnérabilité et les correctifs disponibles.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.