Plateforme
wordpress
Composant
last-email-address-validator
Corrigé dans
1.7.2
La vulnérabilité CVE-2025-14853 affecte le plugin LEAV Last Email Address Validator pour WordPress, dans les versions inférieures ou égales à 1.7.1. Cette faille de type Cross-Site Request Forgery (XSRF) permet à un attaquant non authentifié de modifier les paramètres du plugin. L'absence de validation correcte des jetons nonce dans la fonction displaysettingspage est la cause principale. Une mise à jour vers la dernière version est recommandée.
Un attaquant peut exploiter cette vulnérabilité XSRF pour modifier les paramètres de configuration du plugin LEAV Last Email Address Validator. Cela pourrait potentiellement compromettre la fonctionnalité du plugin, altérer le comportement du site web, ou même permettre à l'attaquant de collecter des informations sensibles. L'attaquant doit inciter un administrateur du site à cliquer sur un lien malveillant contenant la requête forgée. Bien que l'impact direct puisse sembler limité, la modification des paramètres du plugin pourrait avoir des conséquences imprévues sur le fonctionnement du site et la gestion des adresses e-mail.
Cette vulnérabilité a été publiée le 16 janvier 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucune preuve de PoC publique n'est actuellement disponible, mais la nature de la vulnérabilité XSRF la rend potentiellement exploitable. La vulnérabilité n'est pas répertoriée sur le KEV de CISA.
WordPress sites utilizing the LEAV Last Email Address Validator plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources could also be affected if one site is compromised.
• wordpress / composer / npm:
grep -r 'display_settings_page' /var/www/html/wp-content/plugins/leav-last-email-address-validator/• wordpress / composer / npm:
wp plugin list --status=inactive | grep leav-last-email-address-validator• wordpress / composer / npm:
wp plugin update --alldisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour le plugin LEAV Last Email Address Validator vers la dernière version disponible, qui corrige cette vulnérabilité XSRF. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des utilisateurs et en sensibilisant les administrateurs aux risques de phishing. L'implémentation de mesures de sécurité supplémentaires, telles que l'utilisation de jetons CSRF robustes et la validation rigoureuse des entrées utilisateur, peut également aider à atténuer le risque. Après la mise à jour, vérifiez que les paramètres du plugin sont corrects et qu'il fonctionne comme prévu.
Aucun correctif connu n'est disponible. Veuillez examiner attentivement les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14853 décrit une vulnérabilité de type Cross-Site Request Forgery (XSRF) dans le plugin LEAV Last Email Address Validator pour WordPress, permettant à un attaquant de modifier les paramètres du plugin sans authentification.
Vous êtes affecté si vous utilisez LEAV Last Email Address Validator dans une version inférieure ou égale à 1.7.1. Vérifiez votre version et mettez à jour si nécessaire.
La solution recommandée est de mettre à jour le plugin vers la dernière version disponible. En attendant, renforcez la sécurité avec des mesures de protection contre le phishing.
À ce jour, il n'y a aucune indication d'exploitation active, mais la vulnérabilité est potentiellement exploitable.
Consultez le site web du plugin ou le dépôt WordPress pour l'avis officiel concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.