Plateforme
wordpress
Composant
afiliados-de-amazon-lite
Corrigé dans
1.0.1
Le plugin Amazon affiliate lite pour WordPress est vulnérable à une attaque Cross-Site Request Forgery (CSRF) dans toutes les versions jusqu'à et y compris 1.0.0. Cette vulnérabilité est due à une validation incorrecte ou absente des jetons nonce dans la fonction 'ADALsettingspage'. Un attaquant peut exploiter cette faille pour modifier les paramètres du plugin sans authentification, en incitant un administrateur du site à effectuer une action.
Une attaque CSRF réussie permet à un attaquant de modifier les paramètres du plugin Amazon affiliate lite sans l'autorisation de l'administrateur. Cela peut entraîner des modifications non autorisées des liens d'affiliation, des paramètres de suivi ou d'autres configurations critiques du plugin. L'impact peut s'étendre à la perte de revenus d'affiliation, à la manipulation du contenu du site web et à une atteinte à la réputation. Bien que la vulnérabilité nécessite l'interaction d'un administrateur, la simplicité de l'attaque CSRF la rend relativement facile à exploiter, en particulier si l'administrateur est régulièrement victime de phishing ou d'autres techniques d'ingénierie sociale.
Cette vulnérabilité a été publiée le 2025-12-20. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention sur le KEV de CISA. Des preuves de concept publiques (PoC) pourraient être disponibles, mais n'ont pas été signalées publiquement. La probabilité d'exploitation est considérée comme faible à modérée en raison de la nécessité d'une interaction de l'administrateur.
WordPress websites utilizing the Amazon affiliate lite Plugin, particularly those with shared hosting environments or lacking robust administrator training, are at increased risk. Sites with less frequent security audits and outdated plugin versions are also more vulnerable.
• wordpress / composer / npm:
grep -r 'ADAL_settings_page' /var/www/html/wp-content/plugins/amazon-affiliate-lite/• wordpress / composer / npm:
wp plugin list --status=all | grep 'amazon-affiliate-lite'• wordpress / composer / npm:
wp plugin list --status=active | grep 'amazon-affiliate-lite'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
En l'absence de version corrigée, la mitigation immédiate consiste à désactiver le plugin Amazon affiliate lite jusqu'à ce qu'une mise à jour soit disponible. Si la désactivation n'est pas possible, implémentez des mesures de sécurité supplémentaires, telles que l'utilisation d'un pare-feu applicatif web (WAF) configuré pour bloquer les requêtes CSRF. Assurez-vous également que tous les administrateurs du site sont conscients des risques liés aux attaques CSRF et sont formés aux bonnes pratiques de sécurité, telles que la vérification des URL avant de cliquer dessus. Surveillez les journaux du serveur pour détecter toute activité suspecte liée au plugin.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14734 décrit une vulnérabilité Cross-Site Request Forgery (CSRF) dans le plugin Amazon affiliate lite pour WordPress, permettant à un attaquant de modifier les paramètres du plugin sans autorisation.
Oui, si vous utilisez le plugin Amazon affiliate lite pour WordPress dans les versions 1.0.0 et antérieures, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin vers une version corrigée dès qu'elle est disponible. En attendant, désactivez le plugin ou implémentez des mesures de sécurité telles qu'un WAF.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de CVE-2025-14734, mais la vulnérabilité reste présente et doit être corrigée.
Consultez le site web du plugin ou le dépôt WordPress pour obtenir les dernières informations et les mises à jour de sécurité concernant CVE-2025-14734.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.