Plateforme
wordpress
Composant
user-registration
Corrigé dans
4.4.9
La vulnérabilité CVE-2025-14976 concerne une faille de type Cross-Site Request Forgery (CSRF) présente dans le plugin WordPress « User Registration & Membership – Custom Registration Form Builder, Custom Login Form, User Profile, Content Restriction & Membership ». Cette faille permet à un attaquant de réaliser des actions non autorisées au nom d'un utilisateur authentifié, notamment la suppression d'articles. Elle affecte toutes les versions du plugin jusqu'à la 4.4.8. Une mise à jour vers la version 4.4.9 corrige cette vulnérabilité.
Un attaquant peut exploiter cette vulnérabilité CSRF pour supprimer des articles WordPress arbitraires, même s'il n'est pas authentifié. L'attaquant doit simplement inciter un administrateur du site à cliquer sur un lien malveillant contenant une requête forgée. La suppression d'articles peut entraîner une perte de données significative, perturber le fonctionnement du site et potentiellement nuire à la réputation de l'organisation. Bien que la vulnérabilité soit classée comme MODÉRÉE, l'impact potentiel sur la disponibilité et l'intégrité des données est significatif, en particulier pour les sites avec des administrateurs peu vigilants ou des processus de sécurité insuffisants.
La vulnérabilité CVE-2025-14976 a été publiée le 2026-01-10. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun PoC public n'a été identifié. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. La sévérité est évaluée à MODÉRÉE (CVSS 5.4).
WordPress websites utilizing the User Registration & Membership plugin, particularly those with administrative accounts that are frequently used and potentially susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'process_row_actions' /var/www/html/wp-content/plugins/user-registration-membership/• wordpress / composer / npm:
wp plugin list --status=all | grep 'user-registration-membership'• wordpress / composer / npm:
wp plugin update user-registration-membershipdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin « User Registration & Membership » vers la version 4.4.9 ou supérieure, qui corrige la vulnérabilité CSRF. Si la mise à jour n'est pas immédiatement possible, il est recommandé de renforcer les mesures de sécurité existantes. Cela peut inclure l'implémentation de règles WAF (Web Application Firewall) pour bloquer les requêtes CSRF suspectes, ou l'utilisation de plugins de sécurité WordPress qui offrent une protection CSRF supplémentaire. Vérifiez après la mise à jour que la fonction 'processrowactions' avec l'action 'delete' requiert une validation nonce correcte.
Mettre à jour vers la version 4.4.9, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14976 est une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin WordPress User Registration & Membership, permettant à un attaquant de réaliser des actions non autorisées.
Oui, si vous utilisez le plugin User Registration & Membership dans une version inférieure à 4.4.9, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin User Registration & Membership vers la version 4.4.9 ou supérieure pour corriger cette vulnérabilité.
À ce jour, il n'y a pas d'indications d'une exploitation active de CVE-2025-14976.
Consultez le site web du plugin User Registration & Membership ou le dépôt WordPress pour obtenir l'avis officiel concernant CVE-2025-14976.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.