Plateforme
wordpress
Composant
auto-post-to-social-media-wp-to-social-champ
Corrigé dans
1.3.6
Le plugin WordPress Auto Post to Social Media from Social Champ est vulnérable à une attaque de Cross-Site Request Forgery (CSRF) dans toutes les versions jusqu'à et incluant la version 1.3.5. Cette vulnérabilité est due à l'absence de validation de nonce dans la fonction wpscsettingstab_menu. Un attaquant non authentifié peut exploiter cette faille pour modifier les paramètres du plugin en créant une requête forgée, à condition de pouvoir inciter un administrateur du site à effectuer une action, comme cliquer sur un lien malveillant. La version corrigée est la 1.3.6.
Une attaque CSRF réussie permet à un attaquant de modifier les paramètres de configuration du plugin Auto Post to Social Media from Social Champ sans l'autorisation de l'administrateur du site. Cela peut inclure la modification des comptes de médias sociaux connectés, des paramètres d'automatisation de publication, et potentiellement d'autres paramètres sensibles. L'attaquant pourrait ainsi compromettre la gestion des publications sur les réseaux sociaux du site, diffuser du contenu non désiré, ou même accéder à des informations sensibles stockées par le plugin. Bien que l'impact direct soit limité à la configuration du plugin, une compromission réussie pourrait servir de tremplin pour d'autres attaques sur le site WordPress.
Cette vulnérabilité est actuellement considérée comme de probabilité moyenne. Il n'y a pas de Proof of Concept (PoC) public connu à ce jour, mais la nature de la vulnérabilité CSRF la rend potentiellement exploitable. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information concernant l'exploitation de cette faille. La date de publication de la CVE est le 2026-01-14.
Websites utilizing the Social Champ plugin, particularly those with administrators who are not adequately trained in security best practices, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r 'wpsc_settings_tab_menu' /var/www/html/wp-content/plugins/social-champ/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/social-champ/ | grep -i 'wpsc_settings_tab_menu'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Auto Post to Social Media from Social Champ vers la version 1.3.6 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en activant un plugin de sécurité WordPress qui offre une protection CSRF. Ces plugins ajoutent automatiquement des tokens CSRF à tous les formulaires, empêchant ainsi les requêtes forgées d'être exécutées. De plus, il est recommandé de limiter l'accès à l'interface d'administration de WordPress et d'utiliser des mots de passe forts pour tous les comptes d'administrateur.
Mettre à jour vers la version 1.3.6, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14846 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin WordPress Auto Post to Social Media from Social Champ, permettant à un attaquant de modifier les paramètres du plugin sans autorisation.
Oui, si vous utilisez le plugin Auto Post to Social Media from Social Champ dans les versions 1.0.0 à 1.3.5, vous êtes affecté(e) par cette vulnérabilité.
Mettez à jour le plugin vers la version 1.3.6 ou supérieure. En attendant, activez un plugin de sécurité WordPress avec protection CSRF.
Bien qu'il n'y ait pas de PoC public connu, la nature de la vulnérabilité CSRF la rend potentiellement exploitable. Une surveillance continue est recommandée.
Consultez le site web de Social Champ ou les forums de sécurité WordPress pour obtenir des informations officielles concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.