Plateforme
wordpress
Composant
tablemaster-for-elementor
Corrigé dans
1.3.7
La vulnérabilité CVE-2025-14610 affecte le plugin TableMaster for Elementor pour WordPress, permettant une attaque de type Server-Side Request Forgery (SSRF). Cette faille permet à des attaquants authentifiés, disposant d'un accès d'auteur ou supérieur, de lancer des requêtes web vers des destinations arbitraires. Les versions concernées sont celles comprises entre 1.0.0 et 1.3.6 incluses, et une correction est disponible dans la version 1.3.7.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de faire des requêtes web à partir du serveur WordPress, comme s'il était le serveur lui-même. Cela peut être utilisé pour accéder à des ressources internes non accessibles depuis l'extérieur, telles que des fichiers de configuration sensibles, des services d'administration internes ou même d'autres serveurs sur le réseau interne. Dans le cas spécifique de TableMaster for Elementor, l'attaquant peut potentiellement lire le fichier wp-config.php, contenant des informations d'identification sensibles à la base de données. L'impact est significatif car la compromission du fichier wp-config.php peut permettre à l'attaquant de prendre le contrôle complet du site WordPress.
Cette vulnérabilité a été publiée le 2026-01-28. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable. Il est conseillé de prendre des mesures préventives pour se protéger contre d'éventuelles attaques. La vulnérabilité n'est pas répertoriée sur le KEV de CISA à ce jour.
WordPress websites utilizing the TableMaster for Elementor plugin, particularly those with shared hosting environments or legacy configurations, are at risk. Sites where the 'csv_url' parameter is exposed to users with Author or higher roles are especially vulnerable.
• wordpress / composer / npm:
grep -r 'csv_url' /var/www/html/wp-content/plugins/tablemaster-for-elementor/*• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=tablemaster_import_csv&csv_url=http://internal-server/sensitive-file.txt• wordpress / composer / npm:
wp plugin list --status=active | grep tablemaster-for-elementordisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour TableMaster for Elementor vers la version 1.3.7 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, une solution de contournement consiste à restreindre l'accès au widget Data Table ou à désactiver temporairement la fonctionnalité d'importation de CSV à partir d'URL. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes. Surveillez attentivement les journaux du serveur WordPress pour détecter toute activité suspecte, notamment des requêtes vers des URL internes inattendues. Après la mise à jour, vérifiez que la fonctionnalité d'importation de CSV est correctement restreinte et qu'aucune requête suspecte n'est enregistrée.
Mettre à jour vers la version 1.3.7, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14610 est une vulnérabilité SSRF dans le plugin TableMaster for Elementor pour WordPress, permettant à des attaquants authentifiés de faire des requêtes web arbitraires.
Vous êtes affecté si vous utilisez TableMaster for Elementor en version 1.0.0 à 1.3.6 incluses. Mettez à jour vers la version 1.3.7 ou supérieure.
Mettez à jour TableMaster for Elementor vers la version 1.3.7 ou supérieure. En attendant, restreignez l'accès au widget Data Table ou désactivez l'importation de CSV.
À ce jour, aucune exploitation active n'est confirmée, mais la vulnérabilité est potentiellement exploitable.
Consultez le site web du développeur ou le dépôt GitHub du plugin pour obtenir les informations officielles et les notes de version.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.