Plateforme
wordpress
Composant
sticky-action-buttons
Corrigé dans
1.1.1
Le plugin Sticky Action Buttons pour WordPress présente une vulnérabilité de type Cross-Site Request Forgery (XSRF). Cette faille permet à un attaquant non authentifié de modifier les paramètres du plugin en créant une requête malveillante et en incitant un administrateur du site à l'exécuter. Les versions concernées sont celles comprises entre 0.0.0 et 1.1 incluses. Une mise à jour vers la dernière version est recommandée pour corriger cette vulnérabilité.
Une exploitation réussie de cette vulnérabilité XSRF permet à un attaquant de modifier les paramètres du plugin Sticky Action Buttons sans l'autorisation de l'administrateur. Cela pourrait inclure la modification des options d'affichage, des liens, ou d'autres configurations du plugin, potentiellement compromettant l'intégrité du site web. L'attaquant pourrait également utiliser ces modifications pour rediriger les utilisateurs vers des sites malveillants ou injecter du code malveillant. Bien que l'impact direct soit limité au plugin lui-même, une modification des paramètres pourrait servir de tremplin pour d'autres attaques sur le site WordPress.
Cette vulnérabilité a été rendue publique le 2026-01-07. Il n'y a pas d'indications d'exploitation active à ce jour. Aucun PoC public n'est connu. La vulnérabilité est classée comme MODÉRÉE selon le CVSS. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
WordPress websites utilizing the Sticky Action Buttons plugin, particularly those with administrative accounts that are susceptible to phishing attacks or social engineering, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'sabs_options_page_form_submit' /var/www/html/wp-content/plugins/sticky-action-buttons/• wordpress / composer / npm:
wp plugin list --status=inactive | grep sticky-action-buttons• wordpress / composer / npm:
wp plugin list | grep sticky-action-buttonsdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Sticky Action Buttons vers la dernière version disponible, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des utilisateurs WordPress et en activant l'authentification à deux facteurs. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les requêtes XSRF malveillantes. Vérifiez après la mise à jour que les paramètres du plugin sont corrects et qu'il n'y a pas de modifications inattendues.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14465 décrit une vulnérabilité XSRF (Cross-Site Request Forgery) dans le plugin Sticky Action Buttons pour WordPress, permettant à un attaquant de modifier les paramètres du plugin sans autorisation.
Si vous utilisez le plugin Sticky Action Buttons pour WordPress dans les versions 0.0.0 à 1.1 incluses, vous êtes potentiellement affecté par cette vulnérabilité.
La solution recommandée est de mettre à jour le plugin Sticky Action Buttons vers la dernière version disponible. En attendant, appliquez des mesures de mitigation comme la limitation des privilèges utilisateurs et l'utilisation d'un WAF.
À ce jour, il n'y a pas d'indications d'exploitation active de cette vulnérabilité, mais il est important de rester vigilant et d'appliquer les correctifs.
Consultez le site web de WordPress ou le dépôt du plugin Sticky Action Buttons pour obtenir les informations et les mises à jour officielles concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.