Plateforme
wordpress
Composant
wp-db-booster
Corrigé dans
1.0.2
La vulnérabilité CVE-2025-14168 affecte le plugin WordPress WP DB Booster, permettant une attaque CSRF (Cross-Site Request Forgery). Cette faille permet à un attaquant non authentifié de manipuler des actions sensibles sur le site, notamment la suppression de données de la base de données. Les versions concernées sont 1.0.0 et 1.0.1. Une correction est disponible et son application est fortement recommandée.
Un attaquant peut exploiter cette vulnérabilité CSRF pour effectuer des actions non autorisées sur un site WordPress utilisant WP DB Booster, en particulier si un administrateur est connecté. L'attaquant peut créer une requête malveillante, par exemple un lien, et inciter l'administrateur à cliquer dessus. Cette requête, exécutée avec les privilèges de l'administrateur, pourrait entraîner la suppression de données critiques de la base de données, telles que les brouillons de publications, les révisions, les commentaires et les métadonnées. La perte de ces données peut impacter la fonctionnalité du site et la gestion du contenu. Bien que l'attaquant doive tromper un utilisateur authentifié, la facilité avec laquelle un administrateur peut être induit en erreur rend cette vulnérabilité significative.
La vulnérabilité CVE-2025-14168 a été publiée le 20 décembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'a été identifié. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC public et d'exploitation confirmée.
WordPress sites utilizing the WP DB Booster plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources could also be affected, as an attacker could potentially exploit the vulnerability on one site to impact others.
• wordpress / composer / npm:
grep -r 'cleanup_all' /var/www/html/wp-content/plugins/wp-db-booster/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'wp-db-booster'• wordpress / composer / npm:
curl -I 'https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=cleanup_all' | grep '200 OK'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 3%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour WP DB Booster vers la dernière version disponible, qui corrige cette vulnérabilité CSRF. En attendant la mise à jour, plusieurs mesures d'atténuation peuvent être mises en place. Il est recommandé de désactiver temporairement le plugin si possible. L'implémentation de règles WAF (Web Application Firewall) pour bloquer les requêtes suspectes ciblant l'action cleanup_all peut également aider. Enfin, sensibiliser les administrateurs aux risques de phishing et aux techniques d'ingénierie sociale est crucial pour éviter qu'ils ne tombent dans le piège d’une requête malveillante. Après la mise à jour, vérifiez l'intégrité des données de la base de données pour vous assurer qu'aucune suppression malveillante n'a eu lieu.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14168 est une vulnérabilité CSRF dans le plugin WordPress WP DB Booster, permettant à des attaquants non authentifiés de supprimer des données de la base de données.
Vous êtes affecté si vous utilisez WP DB Booster dans les versions 1.0.0 ou 1.0.1.
Mettez à jour WP DB Booster vers la dernière version disponible ou appliquez des mesures d'atténuation comme la désactivation temporaire du plugin.
À l'heure actuelle, il n'y a aucune indication d'une exploitation active de CVE-2025-14168.
Consultez le site web du développeur de WP DB Booster ou le dépôt GitHub du plugin pour obtenir les informations officielles sur la vulnérabilité et la correction.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.