Plateforme
wordpress
Composant
accelerated-mobile-pages
Corrigé dans
1.2.0
La vulnérabilité CVE-2025-14468 concerne un défaut de type CSRF (Cross-Site Request Forgery) découvert dans le plugin WordPress AMP for WP – Accelerated Mobile Pages. Cette faille permet à un attaquant d’effectuer des actions non autorisées au nom d’un utilisateur authentifié, notamment la soumission de commentaires, si le mode template du plugin est activé. Les versions affectées sont comprises entre 1.0.0 et 1.1.9 incluses. La correction est disponible dans la version 1.1.10.
Un attaquant peut exploiter cette vulnérabilité CSRF pour compromettre des comptes d'utilisateurs WordPress. En créant une requête malveillante et en incitant un utilisateur connecté à la cliquer (par exemple, via un lien piégé), l'attaquant peut soumettre des commentaires au nom de cet utilisateur. Cela peut entraîner la diffusion de contenu malveillant, la modification de paramètres de configuration ou d'autres actions nuisibles. Le risque est amplifié si le plugin AMP for WP est largement utilisé et si les utilisateurs sont susceptibles de cliquer sur des liens externes sans vérification. Cette vulnérabilité est similaire à d'autres failles CSRF où l'absence de validation correcte des nonces permet à des requêtes non authentifiées d'être traitées comme légitimes.
La vulnérabilité CVE-2025-14468 a été publiée le 7 janvier 2026. Aucune preuve d'exploitation active n'est actuellement disponible. Il n'y a pas d'entrée dans le KEV (Know Exploited Vulnerabilities) de CISA à ce jour. La probabilité d'exploitation est considérée comme faible en l'absence de PoC publics et d'exploitations confirmées.
Websites using the AMP for WP plugin, particularly those with active comment sections and a significant number of logged-in users, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially vulnerable, as a compromise on one site could lead to attacks targeting others.
• wordpress / composer / npm:
grep -r 'amp_theme_ajaxcomments' /var/www/html/wp-content/plugins/amp-wp/• wordpress / composer / npm:
wp plugin list --status=active | grep 'amp-wp'• wordpress / composer / npm:
wp plugin update amp-wp --version=1.1.10• wordpress / composer / npm:
wp plugin status amp-wp• wordpress / composer / npm:
wp plugin list --all | grep 'AMP for WP'disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation principale consiste à mettre à jour le plugin AMP for WP vers la version 1.1.10 ou supérieure, qui corrige la vulnérabilité CSRF. Si la mise à jour n'est pas immédiatement possible, désactivez temporairement le mode template du plugin pour réduire la surface d'attaque. En attendant la mise à jour, surveillez attentivement les commentaires soumis et les activités suspectes sur votre site WordPress. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une politique de sécurité stricte limitant les requêtes POST non authentifiées peut aider à atténuer le risque. Après la mise à jour, vérifiez que les nonces sont correctement validés en soumettant une requête test et en vérifiant que l'erreur appropriée est renvoyée pour les nonces invalides ou manquants.
Mettre à jour vers la version 1.1.10, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14468 est une vulnérabilité CSRF affectant le plugin AMP for WP, permettant à un attaquant de soumettre des commentaires au nom d’utilisateurs connectés dans les versions 1.0.0 à 1.1.9.
Vous êtes affecté si vous utilisez le plugin AMP for WP dans les versions 1.0.0 à 1.1.9 et que le mode template est activé.
Mettez à jour le plugin AMP for WP vers la version 1.1.10 ou supérieure. Désactivez temporairement le mode template en attendant la mise à jour.
À l'heure actuelle, il n'y a aucune preuve d'exploitation active de CVE-2025-14468.
Consultez le site web du plugin AMP for WP ou le dépôt GitHub pour obtenir les informations officielles et les mises à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.