Plateforme
wordpress
Composant
mamurjor-employee-info
Corrigé dans
1.0.1
Le plugin Mamurjor Employee Info pour WordPress est vulnérable à une attaque de Cross-Site Request Forgery (CSRF) dans toutes les versions jusqu'à et incluant 1.0.0. Cette vulnérabilité est due à l'absence de validation de nonce sur plusieurs fonctions administratives. Elle permet à des attaquants non authentifiés de manipuler des actions administratives, compromettant potentiellement l'intégrité des données. La publication de cette vulnérabilité a eu lieu le 7 janvier 2026.
Une attaque CSRF réussie permet à un attaquant de créer, mettre à jour ou supprimer des enregistrements d'employés, des départements, des désignations, des échelons de salaire, des enregistrements d'éducation et des paiements de salaire sans authentification. L'attaquant doit simplement inciter un administrateur du site à cliquer sur un lien malveillant. Le risque est d'une perte de contrôle sur les données sensibles relatives aux employés, pouvant entraîner des fraudes, des erreurs de paie ou des violations de la confidentialité. Bien qu'il n'y ait pas d'exploitations publiques connues à ce jour, la simplicité de l'attaque CSRF rend cette vulnérabilité particulièrement préoccupante.
Cette vulnérabilité a été publiée le 7 janvier 2026. Elle n'est pas répertoriée sur le KEV de CISA à ce jour. Aucune preuve d'exploitation active n'est disponible, mais la nature de l'attaque CSRF implique une faible probabilité d'exploitation, car elle repose sur l'ingénierie sociale. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
WordPress sites utilizing the Mamurjor Employee Info plugin, particularly those managing sensitive employee data or with limited security controls, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'admin.php' /var/www/html/wp-content/plugins/mamurjor-employee-info/• wordpress / composer / npm:
wp plugin list --status=inactive | grep mamurjor-employee-info• wordpress / composer / npm:
wp plugin list | grep mamurjor-employee-infodisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour le plugin Mamurjor Employee Info vers une version corrigée dès qu'elle sera disponible. En attendant, plusieurs mesures peuvent être prises pour atténuer le risque. Il est fortement recommandé d'activer un plugin de sécurité WordPress qui offre une protection CSRF. De plus, désactivez temporairement les fonctions administratives du plugin si elles ne sont pas essentielles. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les requêtes CSRF malveillantes. Vérifiez régulièrement les journaux d'accès et d'erreurs du serveur WordPress pour détecter toute activité suspecte.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13990 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin Mamurjor Employee Info pour WordPress, permettant à un attaquant de manipuler des actions administratives.
Si vous utilisez le plugin Mamurjor Employee Info pour WordPress dans les versions 1.0.0–1.0.0, vous êtes potentiellement affecté(e) par cette vulnérabilité.
La solution recommandée est de mettre à jour le plugin Mamurjor Employee Info vers la dernière version disponible. En attendant, appliquez des mesures de protection comme l'activation d'un plugin de sécurité CSRF.
À ce jour, aucune exploitation active de CVE-2025-13990 n'a été confirmée, mais la nature de l'attaque CSRF rend cette vulnérabilité préoccupante.
Consultez le site web du développeur de Mamurjor Employee Info ou les forums de sécurité WordPress pour obtenir des informations et des mises à jour officielles concernant CVE-2025-13990.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.