Plateforme
wordpress
Composant
prime-listing-manager
Corrigé dans
1.1.1
La vulnérabilité CVE-2025-14892 concerne une escalade de privilèges critique dans le plugin WordPress Prime Listing Manager. Cette faille permet à un attaquant d'obtenir un accès administrateur complet sur un site WordPress sans nécessiter d'identifiants. Elle est présente dans les versions du plugin comprises entre 0 et 1.1. Une mise à jour vers une version corrigée est fortement recommandée.
L'impact de cette vulnérabilité est extrêmement élevé. Un attaquant exploitant cette faille peut prendre le contrôle total du site WordPress affecté. Cela inclut la modification du contenu, l'installation de logiciels malveillants, la redirection des utilisateurs vers des sites malveillants, et la compromission des données sensibles stockées sur le serveur. La présence d'une clé secrète codée en dur facilite grandement l'exploitation, rendant la vulnérabilité accessible même à des attaquants peu expérimentés. Cette faille est particulièrement préoccupante car elle contourne complètement les mécanismes d'authentification standard de WordPress.
Cette vulnérabilité a été rendue publique le 12 février 2026. Il n'y a pas d'indications d'exploitation active à ce jour, mais la simplicité de l'exploitation suggère qu'elle pourrait être rapidement exploitée à grande échelle. La présence d'une clé secrète codée en dur rend l'exploitation particulièrement aisée et augmente la probabilité d'attaques automatisées. Il est probable que cette vulnérabilité soit ajoutée au catalogue KEV de CISA dans un futur proche.
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Prime Listing Manager vers la dernière version disponible. Avant de procéder à la mise à jour, il est conseillé de réaliser une sauvegarde complète du site WordPress. Si la mise à jour provoque des problèmes de compatibilité, envisagez de revenir à une version précédente du plugin (si disponible) ou de désactiver temporairement le plugin. Bien qu'il n'existe pas de solution de contournement parfaite, surveiller les fichiers du plugin pour détecter des modifications non autorisées peut aider à identifier une compromission.
Aucune correction connue n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14892 is a critical vulnerability in the Prime Listing Manager WordPress plugin that allows attackers to gain administrative access without authentication, enabling unauthorized actions.
If you are using the Prime Listing Manager WordPress plugin in versions 0–1.1, you are potentially affected by this vulnerability. Immediate action is required.
Currently, there is no fixed version available. The recommended mitigation is to disable the plugin until a patch is released by the vendor. Monitor for updates.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of exploitation attempts in the near future.
Refer to the Prime Listing Manager plugin's official website or WordPress plugin repository for updates and advisories regarding CVE-2025-14892.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.