Plateforme
wordpress
Composant
realteo
Corrigé dans
1.2.9
La vulnérabilité CVE-2025-2232 affecte le plugin Realteo - Real Estate pour WordPress, développé par Purethemes et utilisé avec le thème Findeo. Cette faille critique permet un contournement de l'authentification, donnant à des attaquants non authentifiés la possibilité d'enregistrer un compte avec le rôle d'administrateur. Les versions concernées sont celles allant de 0 à 1.2.8 inclus. Une mise à jour vers une version corrigée est fortement recommandée.
L'impact de cette vulnérabilité est extrêmement grave. Un attaquant exploitant cette faille peut contourner complètement le système d'authentification et obtenir un rôle d'administrateur sur le site WordPress. Cela lui confère un contrôle total sur le site, y compris la modification du contenu, l'installation de logiciels malveillants, l'accès aux données sensibles des utilisateurs (informations de connexion, données personnelles, etc.) et la compromission de l'ensemble de l'infrastructure. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite aucune connaissance technique particulière pour être exploitée, ce qui la rend accessible à un large éventail d'attaquants. L'obtention d'un rôle d'administrateur permet également un mouvement latéral facile vers d'autres systèmes connectés au site WordPress.
Cette vulnérabilité a été rendue publique le 14 mars 2025. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour, mais la simplicité de l'exploitation suggère qu'elle pourrait être rapidement exploitée. Aucune entrée n'est encore présente dans le KEV de CISA. Des preuves de concept publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
Websites utilizing the Realteo - Real Estate Plugin, particularly those running older, unpatched versions (0–1.2.8), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites relying on the Findeo Theme, which integrates with the plugin, are also affected.
• wordpress / composer / npm:
wp plugin list --status=active | grep Realteo• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status realteo-real-estate-plugin• wordpress / composer / npm:
wp option get admin_user_email• wordpress / composer / npm:
wp user get admin --fields=rolesdisclosure
Statut de l'Exploit
EPSS
0.88% (percentile 75%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation consiste à mettre à jour immédiatement le plugin Realteo vers une version corrigée dès qu'elle sera disponible. En attendant la mise à jour, des mesures temporaires peuvent être prises. Il est possible de restreindre les rôles disponibles lors de l'inscription des utilisateurs via un plugin de sécurité WordPress. De plus, la surveillance des tentatives d'inscription suspectes dans les journaux du serveur peut aider à détecter une exploitation potentielle. Il est également recommandé de limiter les tentatives d'inscription par adresse IP pour empêcher les attaques par force brute. Après la mise à jour, vérifiez que le plugin est correctement mis à jour et que les rôles d'utilisateur sont correctement configurés.
Mettez à jour le plugin Realteo vers une version corrigée. Vérifiez le site web de Purethemes ou le dépôt WordPress pour obtenir la dernière version disponible qui corrige la vulnérabilité de contournement d'authentification. Assurez-vous de réaliser une sauvegarde complète du site avant de mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-2232 is a CRITICAL vulnerability in the Realteo - Real Estate Plugin for WordPress allowing unauthenticated attackers to create administrator accounts, gaining full control of the site.
If you are using the Realteo - Real Estate Plugin for WordPress in versions 0 through 1.2.8, you are affected by this vulnerability. Check your plugin versions immediately.
The recommended fix is to immediately upgrade the Realteo - Real Estate Plugin to the latest patched version available from the vendor. If upgrading is not possible, implement temporary role-based access controls.
While no active campaigns have been confirmed, the vulnerability is considered high-priority and public proof-of-concept code is likely to emerge, increasing the risk of exploitation.
Refer to the Purethemes website and WordPress plugin repository for the latest advisory and patched version of the Realteo - Real Estate Plugin.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.