Plateforme
wordpress
Composant
adminquickbar
Corrigé dans
1.9.4
Le plugin AdminQuickbar pour WordPress est vulnérable à une attaque de Cross-Site Request Forgery (CSRF) dans toutes les versions jusqu'à et y compris 1.9.3. Cette vulnérabilité est due à une validation incorrecte ou absente des jetons nonce sur les actions AJAX 'saveSettings' et 'renamePost'. Un attaquant peut exploiter cette faille pour modifier les paramètres du plugin et mettre à jour les titres des articles en induisant un administrateur à effectuer une action malveillante.
Un attaquant peut exploiter cette vulnérabilité CSRF pour modifier les paramètres du plugin AdminQuickbar sans l'autorisation de l'administrateur du site. Cela pourrait inclure la modification des options d'affichage, des raccourcis ou d'autres configurations du plugin. De plus, l'attaquant peut modifier les titres des articles WordPress, ce qui pourrait perturber le contenu du site ou induire les utilisateurs en erreur. L'impact est amplifié si l'administrateur du site est régulièrement victime de phishing ou d'ingénierie sociale, car cela rend l'exploitation de la vulnérabilité plus facile.
Cette vulnérabilité est actuellement publique. Il n'y a pas d'indication d'une exploitation active à grande échelle, mais la présence d'une vulnérabilité CSRF dans un plugin WordPress populaire la rend potentiellement attrayante pour les attaquants. Le score CVSS de 4.3 (MODÉRÉ) indique une probabilité d'exploitation modérée. Aucune mention sur le KEV à ce jour.
Sites running the AdminQuickbar plugin versions 1.0.0 through 1.9.3 are at risk, particularly those with active site administrators who frequently log in and interact with the plugin's settings. Shared WordPress hosting environments where plugin updates are not consistently managed are also at increased risk.
• wordpress / plugin:
wp plugin list | grep AdminQuickbar• wordpress / plugin: Check the version number of the AdminQuickbar plugin. Versions prior to 1.9.4 are vulnerable.
• wordpress / plugin: Examine the plugin's code for missing or incorrect nonce validation in the 'saveSettings' and 'renamePost' AJAX actions. Look for instances where user input is processed without proper verification.
• generic web: Monitor server access logs for suspicious requests originating from unfamiliar sources targeting the plugin's AJAX endpoints (e.g., wp-admin/admin-ajax.php).
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin AdminQuickbar vers la version 1.9.4 ou supérieure, qui corrige cette vulnérabilité. En attendant, vous pouvez atténuer le risque en limitant l'accès à l'interface d'administration de WordPress et en sensibilisant les administrateurs aux risques de phishing. Il est également possible d'utiliser un plugin de sécurité WordPress qui offre une protection CSRF supplémentaire. Vérifiez après la mise à jour que les paramètres du plugin sont corrects et que les titres des articles n'ont pas été modifiés de manière inattendue.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14630 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin AdminQuickbar pour WordPress, permettant à un attaquant de modifier les paramètres du plugin et les titres des articles sans autorisation.
Oui, si vous utilisez le plugin AdminQuickbar dans les versions 1.0.0 à 1.9.3, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin AdminQuickbar vers la version 1.9.4 ou supérieure. En attendant, appliquez des mesures d'atténuation comme la limitation de l'accès à l'administration et la sensibilisation aux attaques de phishing.
Bien qu'il n'y ait pas d'indication d'une exploitation active à grande échelle, la vulnérabilité est publique et pourrait être exploitée par des attaquants.
Consultez le site web du plugin AdminQuickbar ou le dépôt GitHub pour les informations officielles concernant cette vulnérabilité et la mise à jour corrective.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.