Plateforme
wordpress
Composant
onestore-sites
Corrigé dans
0.1.2
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans OneStore Sites, un plugin WordPress. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, potentiellement compromettant l'intégrité des données et la sécurité du site. Elle affecte les versions de OneStore Sites comprises entre 0.0.0 et 0.1.1, et une correction est disponible dans la version 0.1.2.
La vulnérabilité CSRF dans OneStore Sites permet à un attaquant de manipuler les requêtes HTTP envoyées par les utilisateurs authentifiés. Un attaquant pourrait, par exemple, modifier des paramètres de configuration, supprimer des données, ou même créer de nouveaux utilisateurs, le tout sans que l'utilisateur ne s'en rende compte. L'impact est significatif car elle peut mener à une compromission complète du site WordPress et de ses données. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée via des liens malveillants ou des scripts injectés sur des sites web tiers, rendant l'attaque potentiellement silencieuse et difficile à détecter.
Cette vulnérabilité a été publiée le 7 février 2025. Aucune preuve d'exploitation active n'est actuellement disponible, mais la sévérité critique de la vulnérabilité (CVSS 9.6) indique un risque élevé. Il est probable que des preuves d'exploitation apparaîtront rapidement, compte tenu de la facilité d'exploitation des vulnérabilités CSRF. Surveillez les forums de sécurité et les bases de données de vulnérabilités pour les mises à jour.
WordPress sites using the sainwp OneStore Sites plugin, particularly those with user roles that have administrative privileges or access to sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'sainwp OneStore Sites' /var/www/html/
wp plugin list• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/onestore-sites/ | grep -i 'onestore-sites'disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OneStore Sites vers la version 0.1.2 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. L'utilisation d'un Web Application Firewall (WAF) avec des règles CSRF peut aider à bloquer les requêtes malveillantes. De plus, il est recommandé de désactiver temporairement les fonctionnalités sensibles de OneStore Sites si la mise à jour n'est pas immédiatement possible. Vérifiez après la mise à jour que les fonctionnalités critiques fonctionnent correctement et qu'il n'y a pas de régressions.
Mettez à jour le plugin OneStore Sites vers la dernière version disponible pour atténuer la vulnérabilité de Cross-Site Request Forgery (CSRF). Vérifiez la page du plugin sur WordPress.org pour obtenir la version la plus récente et les instructions de mise à jour. Implémentez des mesures de sécurité supplémentaires, telles que la validation des entrées et l'encodage des sorties, pour prévenir de futures attaques CSRF.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-25107 décrit une vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin OneStore Sites pour WordPress, permettant à un attaquant d'effectuer des actions non autorisées.
Si vous utilisez OneStore Sites en version 0.0.0 à 0.1.1, vous êtes affecté(e) par cette vulnérabilité. Mettez à jour immédiatement vers la version 0.1.2.
La solution est de mettre à jour OneStore Sites vers la version 0.1.2 ou supérieure. En attendant, utilisez un WAF ou désactivez les fonctionnalités sensibles.
Bien qu'aucune exploitation active n'ait été confirmée, la sévérité critique de la vulnérabilité suggère un risque élevé d'exploitation.
Consultez le site web du développeur OneStore Sites ou le dépôt GitHub du plugin pour obtenir les informations les plus récentes sur cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.