Plateforme
wordpress
Composant
bp-xprofile-custom-field-types
Corrigé dans
1.2.9
La vulnérabilité CVE-2025-14997 affecte le plugin BuddyPress Xprofile Custom Field Types pour WordPress. Elle permet une suppression arbitraire de fichiers en raison d'une validation insuffisante du chemin d'accès aux fichiers. Cette faille peut être exploitée par des attaquants authentifiés, même avec un accès de niveau Abonné, pour supprimer des fichiers critiques sur le serveur, ce qui peut conduire à une exécution de code à distance. Les versions concernées sont les versions 1.0.0 à 1.2.8 incluses. Une correction est disponible dans la version 1.3.0.
L'impact de cette vulnérabilité est significatif. Un attaquant authentifié peut exploiter cette faille pour supprimer des fichiers arbitraires sur le serveur WordPress. La suppression de fichiers de configuration sensibles, tels que wp-config.php, peut permettre à l'attaquant de prendre le contrôle complet du serveur et d'exécuter du code malveillant. La possibilité de supprimer des fichiers essentiels compromet l'intégrité et la confidentialité du site web et de ses données. Cette vulnérabilité présente des similitudes avec d'autres failles de suppression de fichiers, où la suppression de fichiers de configuration critiques permet un accès non autorisé et une exécution de code.
La vulnérabilité CVE-2025-14997 a été publiée le 6 janvier 2026. Il n'y a pas d'indication d'une inscription sur le KEV (Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'un accès authentifié et de la complexité potentielle de l'exploitation. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, augmentant le risque d'exploitation.
WordPress websites utilizing the BuddyPress Xprofile Custom Field Types plugin in versions 1.0.0 through 1.2.8 are at risk. This includes sites with Subscriber-level user roles, as these users are sufficient to exploit the vulnerability. Shared hosting environments are particularly vulnerable, as they often have limited access controls and a higher density of WordPress installations.
• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'BuddyPress Xprofile Custom Field Types'• wordpress / composer / npm:
wp plugin list | grep 'BuddyPress Xprofile Custom Field Types' && wp plugin version 'BuddyPress Xprofile Custom Field Types'• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/buddybp-xprofile-custom-field-types/ -name 'delete_field.php'• wordpress / composer / npm:
wp plugin list | grep 'BuddyPress Xprofile Custom Field Types' && wp plugin path 'BuddyPress Xprofile Custom Field Types'disclosure
Statut de l'Exploit
EPSS
0.94% (percentile 76%)
CISA SSVC
Vecteur CVSS
En attendant la mise à jour vers la version 1.3.0, plusieurs mesures d'atténuation peuvent être prises. Il est fortement recommandé de restreindre les permissions d'écriture pour le répertoire du plugin. L'utilisation d'un pare-feu applicatif web (WAF) peut aider à bloquer les requêtes malveillantes ciblant la fonction delete_field. Vérifiez également les journaux d'accès et d'erreurs du serveur WordPress pour détecter toute activité suspecte. Enfin, assurez-vous que les utilisateurs disposent du minimum de privilèges nécessaires pour effectuer leurs tâches. Après la mise à jour vers la version 1.3.0, vérifiez l'intégrité des fichiers du plugin et testez la fonctionnalité de suppression de champs pour confirmer que la vulnérabilité a été corrigée.
Mettre à jour vers la version 1.3.0, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14997 is a HIGH severity vulnerability in the BuddyPress Xprofile Custom Field Types plugin for WordPress, allowing authenticated users to delete arbitrary files, potentially leading to remote code execution.
You are affected if you are using BuddyPress Xprofile Custom Field Types versions 1.0.0 through 1.2.8. Upgrade to 1.3.0 or later to resolve the issue.
Upgrade the BuddyPress Xprofile Custom Field Types plugin to version 1.3.0 or later. If immediate upgrade is not possible, restrict file permissions and consider a WAF.
There is currently no evidence of active exploitation of CVE-2025-14997 in the wild.
Refer to the official BuddyPress Xprofile Custom Field Types plugin documentation and WordPress security advisories for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.