Plateforme
wordpress
Composant
career-section
Corrigé dans
1.6.1
1.7
Le plugin Career Section pour WordPress présente une vulnérabilité de Cross-Site Request Forgery (CSRF) qui peut être exploitée pour effectuer une traversée de chemin et supprimer des fichiers arbitraires sur le serveur. Cette faille est due à un manque de validation nonce et à une validation insuffisante du chemin du fichier dans la fonction 'appformoptionspage_html'. Les versions concernées sont celles jusqu'à la version 1.6 inclusivement. Une version corrigée, la 1.7, est désormais disponible.
Un attaquant peut exploiter cette vulnérabilité CSRF pour forger une requête et, si un administrateur du site est amené à cliquer sur un lien malveillant, supprimer des fichiers critiques du serveur. La suppression de fichiers de configuration, de fichiers de base de données ou de fichiers système pourrait entraîner une perte de données, une interruption de service ou même un contrôle total du serveur. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite pas d'authentification préalable, un simple utilisateur mal intentionné pouvant potentiellement compromettre le site WordPress.
Cette vulnérabilité a été rendue publique le 2026-04-16. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la nature de la vulnérabilité CSRF la rend potentiellement exploitable. Il n'est pas listé sur le KEV de CISA. Des preuves de concept publiques sont susceptibles d'apparaître, augmentant le risque d'exploitation.
Websites utilizing the Career Section plugin, particularly those with WordPress administrators who are susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a successful exploit on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'appform_options_page_html' /var/www/html/wp-content/plugins/career-section/• wordpress / composer / npm:
wp plugin list | grep 'career-section'• wordpress / composer / npm:
wp plugin update career-section --version=1.7• generic web: Check WordPress plugin directory for outdated versions of Career Section.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour le plugin Career Section vers la version 1.7 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des utilisateurs et en sensibilisant les administrateurs aux risques de phishing et de CSRF. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les requêtes malveillantes. Après la mise à jour, vérifiez que la fonction de suppression de fichiers nécessite une authentification forte et qu'un nonce est correctement validé.
Mettre à jour vers la version 1.7, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14868 is a Path Traversal vulnerability in the Career Section WordPress plugin allowing attackers to delete arbitrary files via CSRF. It affects versions up to 1.6.
If you are using the Career Section WordPress plugin version 1.6 or earlier, you are vulnerable to this Path Traversal attack.
Upgrade the Career Section plugin to version 1.7 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
While no active exploitation has been confirmed, the vulnerability's nature and reliance on CSRF suggest a potential for targeted attacks.
Refer to the plugin developer's website or the WordPress plugin directory for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.