Plateforme
wordpress
Composant
stopwords-for-comments
Corrigé dans
1.1.1
Le plugin Stopwords for comments pour WordPress présente une vulnérabilité Cross-Site Request Forgery (CSRF). Cette faille permet à un attaquant non authentifié d'effectuer des actions en tant qu'administrateur du site, telles que l'ajout ou la suppression de mots vides, en manipulant des requêtes HTTP. Les versions affectées sont comprises entre 0.0.0 et 1.1 inclus. Une solution consiste à mettre à jour le plugin vers une version corrigée ou à appliquer des mesures de mitigation.
Un attaquant peut exploiter cette vulnérabilité CSRF pour modifier la configuration du plugin Stopwords for comments sans nécessiter d'authentification. Cela peut entraîner des modifications non autorisées des mots vides utilisés pour filtrer les commentaires, affectant potentiellement la qualité et la pertinence des commentaires affichés sur le site WordPress. L'attaquant pourrait, par exemple, ajouter des mots vides qui bloquent des commentaires légitimes ou supprimer des mots vides essentiels pour le filtrage. L'impact est amplifié si le site WordPress est utilisé pour des applications critiques ou si l'attaquant peut compromettre d'autres plugins ou thèmes via cette vulnérabilité.
Cette vulnérabilité a été rendue publique le 14 janvier 2026. Il n'y a pas d'indications d'une exploitation active à l'heure actuelle. La probabilité d'exploitation est considérée comme modérée, car elle nécessite que l'attaquant puisse inciter un administrateur du site à cliquer sur un lien malveillant. Aucun PoC public n'a été identifié à ce jour.
WordPress sites utilizing the Stopwords for comments plugin, particularly those with shared hosting environments where plugin updates may be delayed, are at risk. Sites with less stringent administrator access controls are also more vulnerable to exploitation.
• wordpress / composer / npm:
grep -r 'set_stopwords_for_comments' /var/www/html/wp-content/plugins/stopwords-for-comments/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=set_stopwords_for_comments | grep -i '200 ok'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Stopwords for comments vers la dernière version disponible, qui corrige cette vulnérabilité CSRF. En attendant la mise à jour, il est possible d'appliquer des mesures de protection supplémentaires. L'utilisation d'un plugin de sécurité WordPress qui offre une protection CSRF peut aider à atténuer le risque. De plus, il est recommandé de désactiver temporairement le plugin si la mise à jour n'est pas immédiatement possible. Vérifiez après la mise à jour que les mots vides sont correctement configurés et que le plugin fonctionne comme prévu.
Aucune correction connue n'est disponible. Veuillez examiner attentivement les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-15376 décrit une vulnérabilité Cross-Site Request Forgery (CSRF) dans le plugin Stopwords for comments pour WordPress, permettant à un attaquant d'effectuer des actions en tant qu'administrateur sans authentification.
Si vous utilisez le plugin Stopwords for comments pour WordPress dans les versions 0.0.0 à 1.1 inclus, vous êtes potentiellement affecté par cette vulnérabilité.
La solution recommandée est de mettre à jour le plugin Stopwords for comments vers la dernière version disponible. En attendant, appliquez des mesures de mitigation comme un plugin de sécurité CSRF.
À l'heure actuelle, il n'y a pas d'indications d'une exploitation active de CVE-2025-15376, mais la probabilité d'exploitation est considérée comme modérée.
Consultez le site web de WordPress ou le dépôt du plugin Stopwords for comments pour obtenir des informations et des mises à jour officielles concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.