Plateforme
wordpress
Composant
munk-sites
Corrigé dans
1.0.8
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans Munk Sites, un plugin WordPress développé par MetricThemes. Cette faille permet à un attaquant d'effectuer des actions non autorisées sur le compte d'un utilisateur authentifié, potentiellement modifiant des données ou compromettant la sécurité du site. Elle affecte les versions de Munk Sites comprises entre 0.0.0 et 1.0.7 incluses. Une version corrigée (1.0.8) est désormais disponible.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant de modifier des paramètres de configuration, de publier du contenu malveillant, de supprimer des données ou d'effectuer d'autres actions au nom d'un utilisateur authentifié. L'impact est particulièrement grave si l'attaquant peut compromettre un compte administrateur, lui donnant un contrôle total sur le site WordPress. Un attaquant pourrait, par exemple, modifier les permissions des utilisateurs, installer des plugins malveillants ou rediriger le trafic vers un site malveillant. La nature de CSRF rend l'attaque difficile à détecter, car elle se fait via des requêtes légitimes du navigateur de la victime.
Cette vulnérabilité a été publiée le 7 février 2025. Il n'y a pas d'informations disponibles concernant une exploitation active ou l'ajout à la liste KEV de CISA. La gravité élevée (CVSS 9.6) indique un risque significatif, et la disponibilité d'un proof-of-concept public pourrait accélérer l'exploitation.
Websites using the MetricThemes Munk Sites plugin, particularly those with administrative access or sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'munk-sites/includes/class-munk-sites-admin.php' . |
grep -i 'wp_send_json'• generic web:
curl -I https://example.com/munk-sites/admin/ | grep -i 'csrf-token'disclosure
Statut de l'Exploit
EPSS
0.74% (percentile 73%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour Munk Sites vers la version 1.0.8 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires, telles que l'utilisation de tokens CSRF dans les formulaires sensibles. L'activation du plugin Wordfence ou d'un autre plugin de sécurité WordPress peut également aider à atténuer le risque. Vérifiez après la mise à jour que les permissions des utilisateurs sont conformes et qu'il n'y a pas eu de modifications non autorisées.
Mettez à jour le plugin Munk Sites à la dernière version disponible pour atténuer la vulnérabilité CSRF. Cette mise à jour corrige la possibilité pour un attaquant d'exécuter des actions non autorisées sur votre site web WordPress via des requêtes falsifiées. Assurez-vous de sauvegarder votre site avant de mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-25101 is a critical Cross-Site Request Forgery (CSRF) vulnerability affecting versions 0.0.0–1.0.7 of the MetricThemes Munk Sites WordPress plugin, allowing attackers to perform unauthorized actions.
You are affected if you are using the Munk Sites plugin in versions 0.0.0 through 1.0.7. Upgrade to 1.0.8 or later to mitigate the risk.
Upgrade the Munk Sites plugin to version 1.0.8 or later. If upgrading is not possible, implement a WAF with CSRF protection rules.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation. Monitor your site closely.
Refer to the MetricThemes website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.