Plateforme
wordpress
Composant
post-slides
Corrigé dans
1.0.2
Le plugin Post Slides pour WordPress présente une vulnérabilité de type Local File Inclusion (LFI). Cette faille permet à des utilisateurs authentifiés, disposant de rôles tels que contributeur ou supérieur, d'exploiter des attributs de shortcode non validés pour inclure des fichiers locaux arbitraires. L'impact est significatif car elle peut permettre l'accès à des informations sensibles sur le serveur. Les versions affectées sont les versions 0 jusqu'à 1.0.1. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié d'inclure des fichiers locaux arbitraires sur le serveur WordPress. Cela peut conduire à la divulgation d'informations sensibles telles que des fichiers de configuration, des clés API, ou même du code source. Un attaquant pourrait également potentiellement exécuter du code malveillant en incluant des fichiers PHP contenant du code malveillant. Bien que l'accès soit limité aux utilisateurs authentifiés, cela représente un risque important pour les sites WordPress où les utilisateurs ont des privilèges de contributeur ou supérieurs. La surface d'attaque est donc limitée aux utilisateurs ayant accès à l'interface d'administration WordPress.
Cette vulnérabilité a été rendue publique le 2026-02-07. Il n'y a pas d'indication d'une exploitation active à ce jour. Il n'est pas listé sur le KEV de CISA. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'un accès authentifié et de la complexité potentielle de l'exploitation. Des preuves de concept (PoC) pourraient être développées et publiées, augmentant le risque d'exploitation.
WordPress websites using the Post Slides plugin, particularly those with multiple users having contributor or higher roles, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable. Sites with outdated WordPress installations or weak security practices are at increased risk.
• wordpress / composer / npm:
grep -r "include(get_include_path()" /var/www/html/wp-content/plugins/post-slides/• wordpress / composer / npm:
wp plugin list --status=all | grep "post-slides"• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/post-slides/ | grep -i "include"disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Post Slides vers une version corrigée dès que possible. En attendant la mise à jour, des mesures d'atténuation peuvent être prises. Il est recommandé de restreindre les privilèges des utilisateurs sur le site WordPress, en limitant l'accès aux fonctionnalités qui utilisent le plugin Post Slides. L'application de règles de pare-feu applicatif (WAF) peut aider à bloquer les requêtes malveillantes ciblant la vulnérabilité LFI. Vérifiez également les permissions des fichiers et répertoires du plugin pour vous assurer qu'ils sont correctement configurés et limités.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-15491 is a Local File Inclusion vulnerability in the Post Slides WordPress plugin, allowing authenticated users to read arbitrary files on the server. It affects versions 0 through 1.0.1 and has a CVSS score of 7.5.
You are affected if your WordPress site uses the Post Slides plugin in versions 0–1.0.1 and you have users with contributor or higher roles.
Upgrade to the latest version of the Post Slides plugin as soon as a patch is released. Until then, restrict access to the plugin's shortcode functionality or implement server-side input validation.
No active exploitation has been confirmed at this time, but the ease of exploitation suggests a PoC may emerge.
Please refer to the Post Slides plugin developer's website or WordPress.org plugin repository for the official advisory.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.