Plateforme
wordpress
Composant
sosh-share-buttons
Corrigé dans
1.1.1
Le plugin Sosh Share Buttons pour WordPress présente une vulnérabilité de Cross-Site Request Forgery (CSRF) dans toutes les versions jusqu'à et y compris 1.1.0. Cette faille est due à un manque de validation nonce dans la fonction 'adminpagecontent'. Un attaquant peut exploiter cette vulnérabilité pour modifier les paramètres du plugin sans authentification, en incitant un administrateur à effectuer une action malveillante.
Un attaquant peut exploiter cette vulnérabilité CSRF pour modifier les paramètres du plugin Sosh Share Buttons. Cela pourrait inclure la modification des liens de partage, l'ajout de code malveillant ou la modification d'autres options de configuration. L'impact est amplifié si l'administrateur du site est trompé en cliquant sur un lien malveillant, ce qui permet à l'attaquant de prendre le contrôle des paramètres du plugin. Bien que l'exploitation nécessite l'interaction d'un administrateur, le risque est significatif, en particulier dans les environnements où les administrateurs sont susceptibles de cliquer sur des liens externes sans vérification.
Cette vulnérabilité a été publiée le 14 janvier 2026. Il n'y a pas d'indication d'exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est connu. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC public et d'exploitation confirmée.
WordPress websites using the Sosh Share Buttons plugin, particularly those with shared hosting environments or where administrators are susceptible to phishing attacks, are at risk. Sites with outdated plugin versions are especially vulnerable.
• wordpress / composer / npm:
grep -r 'admin_page_content' /var/www/html/wp-content/plugins/sosh-share-buttons/• wordpress / composer / npm:
wp plugin list | grep 'sosh-share-buttons'• wordpress / composer / npm:
wp plugin update sosh-share-buttons --alldisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Sosh Share Buttons vers une version corrigée dès que possible. En attendant la mise à jour, il est possible d'appliquer des mesures de protection temporaires. L'utilisation d'un pare-feu applicatif web (WAF) peut aider à bloquer les requêtes CSRF malveillantes. De plus, il est recommandé de renforcer les pratiques de sécurité des administrateurs, en les sensibilisant aux risques de phishing et en les encourageant à vérifier attentivement les liens avant de cliquer dessus. Vérifiez après la mise à jour que les paramètres du plugin sont corrects et qu'il n’y a pas de modifications inattendues.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-15377 décrit une vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin Sosh Share Buttons pour WordPress, permettant à un attaquant de modifier les paramètres du plugin sans authentification.
Vous êtes affecté si vous utilisez le plugin Sosh Share Buttons pour WordPress dans une version inférieure ou égale à 1.1.0.
La solution est de mettre à jour le plugin Sosh Share Buttons vers la dernière version disponible, qui corrige cette vulnérabilité.
À ce jour, il n'y a aucune indication d'exploitation active de CVE-2025-15377, mais il est important de mettre à jour le plugin pour se protéger.
Consultez le site web du développeur du plugin Sosh Share Buttons ou le dépôt WordPress pour obtenir l'avis officiel et les instructions de mise à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.