Plateforme
wordpress
Composant
responsive-add-ons
Corrigé dans
3.4.3
3.4.3
La vulnérabilité CVE-2025-15488 concerne une faille d'exécution de code à distance (RCE) présente dans le plugin WordPress « Responsive Plus – Elementor Templates & Starter Sites ». Cette faille permet à un attaquant non authentifié d'exécuter du code malveillant sur le serveur hébergeant le site WordPress. Elle affecte toutes les versions du plugin antérieures à la version 3.4.3. Une version corrigée (3.4.3) est désormais disponible.
L'impact de cette vulnérabilité est extrêmement élevé. Un attaquant exploitant cette faille peut prendre le contrôle total du serveur WordPress, compromettant ainsi toutes les données sensibles hébergées sur celui-ci. Cela inclut les informations des utilisateurs, les données de configuration, et potentiellement l'accès à d'autres systèmes connectés au même serveur. L'attaquant pourrait également utiliser le serveur compromis pour lancer d'autres attaques contre d'autres cibles. Cette vulnérabilité présente un risque similaire à d'autres failles RCE dans des plugins WordPress largement utilisés, permettant une prise de contrôle complète du site.
Cette vulnérabilité a été rendue publique le 30 mars 2026. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la nature critique de la vulnérabilité et sa simplicité d'exploitation suggèrent qu'elle pourrait être ciblée par des acteurs malveillants. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA, mais sa sévérité élevée justifie une surveillance attentive. Des preuves de concept (PoC) pourraient être publiées prochainement.
Statut de l'Exploit
EPSS
0.10% (percentile 28%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin « Responsive Plus – Elementor Templates & Starter Sites » vers la version 3.4.3 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement le plugin pour réduire la surface d'attaque. En attendant la mise à jour, il est possible de mettre en place des règles WAF (Web Application Firewall) pour bloquer les requêtes suspectes ciblant les points d'entrée vulnérables. Une analyse approfondie du code source du plugin peut également permettre d'identifier et de corriger manuellement certaines vulnérabilités, mais cette approche est complexe et nécessite une expertise en sécurité WordPress.
Mettre à jour vers la version 3.4.3, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
RCE is a type of vulnerability that allows an attacker to execute arbitrary code on a server. This can give the attacker complete control over the server.
If you are using a version of Responsive Plus prior to 3.4.3, your website is vulnerable. You can check the plugin version in the WordPress admin dashboard, under the 'Plugins' section.
Implement additional security measures, such as a web application firewall (WAF) and monitor server logs.
Vulnerability scanners are available that can detect this vulnerability. Consult with your web security provider for more information.
A CVSS score of 9.8 indicates a critical risk. It means the vulnerability is easy to exploit and can have a significant impact on website security.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.