Plateforme
wordpress
Composant
acf-frontend-form-element
Corrigé dans
3.28.30
La vulnérabilité CVE-2025-14736 concerne une faille d'escalade de privilèges dans le plugin Frontend Admin de DynamiApps pour WordPress. Cette faille permet à un attaquant non authentifié de contourner les contrôles d'accès et d'obtenir des privilèges d'administrateur, compromettant ainsi la sécurité du site web. Les versions affectées sont les versions 0.0.0 à 3.28.29. Une mise à jour vers la version 3.28.30 corrige cette vulnérabilité.
L'impact de cette vulnérabilité est extrêmement élevé. Un attaquant exploitant avec succès cette faille peut obtenir un contrôle total sur le site WordPress, y compris la modification du contenu, l'installation de logiciels malveillants, la suppression de données et l'accès aux informations sensibles des utilisateurs. L'absence de validation appropriée des rôles utilisateurs permet à un attaquant de s'inscrire avec le rôle d'administrateur, contournant ainsi les mécanismes de sécurité standard. Cette vulnérabilité pourrait être exploitée pour des attaques de type prise de contrôle de site web, de déni de service ou de vol de données, avec des conséquences potentiellement désastreuses pour l'entreprise et ses utilisateurs.
La vulnérabilité CVE-2025-14736 a été publiée le 9 janvier 2026. Il n'y a pas d'indication d'une inscription au KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme élevée en raison de la simplicité de l'exploitation et de la popularité du plugin Frontend Admin. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
WordPress sites utilizing the Frontend Admin plugin, particularly those with publicly accessible user registration forms and legacy configurations, are at significant risk. Shared hosting environments where multiple WordPress installations share resources are also vulnerable, as a compromise of one site could potentially impact others.
• wordpress: Use wp-cli to check the installed plugin version:
wp plugin list | grep Frontend Admin• wordpress: Examine the wp-config.php file for any unusual configurations related to user roles or registration.
• wordpress: Review WordPress access logs for suspicious user registration attempts with the role set to 'administrator'.
• generic web: Monitor access logs for requests to the user registration endpoint with manipulated Role parameters.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation principale est de mettre à jour immédiatement le plugin Frontend Admin vers la version 3.28.30 ou supérieure. Si la mise à jour est problématique, envisagez de restaurer une sauvegarde antérieure à l'installation du plugin vulnérable. En attendant la mise à jour, il n'existe pas de contournement direct, mais vous pouvez renforcer la sécurité du site en limitant l'accès aux formulaires d'inscription et en activant l'authentification à deux facteurs pour tous les utilisateurs, en particulier les administrateurs. Après la mise à jour, vérifiez que les rôles utilisateurs sont correctement gérés et que les permissions sont conformes aux exigences de sécurité.
Mettre à jour vers la version 3.28.30, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14736 is a critical vulnerability in the Frontend Admin WordPress plugin allowing unauthenticated attackers to gain administrator privileges.
If you are using Frontend Admin plugin versions 0.0.0 through 3.28.29, you are vulnerable to this privilege escalation attack.
Upgrade the Frontend Admin plugin to version 3.28.30 or later to resolve this vulnerability. Consider temporary mitigations if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's simplicity makes it a likely target for attackers.
Refer to the DynamiApps website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-14736.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.