Plateforme
wordpress
Composant
kento-latest-tabs
Corrigé dans
1.5.1
Le plugin Latest Tabs pour WordPress présente une vulnérabilité de Cross-Site Request Forgery (CSRF) dans les versions 1.0.0 à 1.5 incluses. Cette faille est due à une validation incorrecte ou absente des jetons de nonce dans le gestionnaire de mise à jour des paramètres (admin-page.php). Un attaquant peut exploiter cette vulnérabilité pour modifier les paramètres du plugin sans authentification, en incitant un administrateur à effectuer une action malveillante.
Une attaque CSRF réussie pourrait permettre à un attaquant de modifier les paramètres du plugin Latest Tabs, potentiellement compromettant le site WordPress. Cela pourrait inclure la modification des paramètres d'affichage, l'ajout de code malveillant ou la modification des configurations de sécurité. L'impact est amplifié si l'administrateur du site est régulièrement ciblé par des attaques de phishing ou d'ingénierie sociale, car l'attaquant pourrait l'inciter à cliquer sur un lien malveillant qui déclencherait la modification des paramètres. Bien que la vulnérabilité ne permette pas une exécution directe de code, elle peut servir de tremplin pour d'autres attaques.
Cette vulnérabilité a été publiée le 7 janvier 2026. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'a été rendu disponible. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC public et d'exploitation confirmée.
WordPress sites utilizing the Latest Tabs plugin, particularly those with administrative accounts that are frequently targeted by phishing or social engineering attacks, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources could also be affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'admin-page.php' /var/www/html/wp-content/plugins/latest-tabs/• wordpress / composer / npm:
wp plugin list --status=all | grep 'latest-tabs'• wordpress / composer / npm:
wp plugin update latest-tabs --alldisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour le plugin Latest Tabs vers la version 1.6 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. L'utilisation d'un pare-feu applicatif web (WAF) configuré pour bloquer les requêtes CSRF peut aider à atténuer le risque. De plus, il est recommandé de renforcer la sensibilisation des administrateurs aux risques de phishing et d'ingénierie sociale, et de les encourager à vérifier attentivement les liens avant de cliquer dessus. Vérifiez après la mise à jour que les paramètres du plugin sont restés inchangés et qu'il n'y a pas d'activité suspecte.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14999 est une vulnérabilité CSRF dans le plugin Latest Tabs pour WordPress, permettant à un attaquant de modifier les paramètres du plugin via une requête forgée.
Oui, si vous utilisez le plugin Latest Tabs pour WordPress dans les versions 1.0.0 à 1.5, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin Latest Tabs vers la version 1.6 ou supérieure pour corriger cette vulnérabilité. En attendant, utilisez un WAF et sensibilisez les administrateurs.
À ce jour, il n'y a pas d'indications d'une exploitation active de CVE-2025-14999, mais il est important de corriger la vulnérabilité pour éviter tout risque futur.
Consultez le site web du développeur du plugin Latest Tabs ou le dépôt GitHub pour obtenir l'avis officiel concernant CVE-2025-14999.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.