Plateforme
wordpress
Composant
woffice
Corrigé dans
5.4.22
La vulnérabilité CVE-2025-2798 est un contournement d'authentification critique affectant le thème Woffice CRM pour WordPress. Cette faille permet à des attaquants non authentifiés de s'inscrire avec un rôle d'administrateur, compromettant potentiellement la sécurité de l'ensemble du système. Les versions concernées sont celles comprises entre 0.0.0 et 5.4.21 incluses. Une mise à jour vers la version 5.4.22 corrige ce problème.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié d'obtenir un rôle d'administrateur au sein de l'application Woffice CRM. Cela confère un contrôle total sur le système, incluant la capacité de modifier des données, de créer des utilisateurs, et d'exécuter des actions privilégiées. En combinaison avec CVE-2025-2797, un attaquant pourrait contourner le processus d'approbation des utilisateurs en incitant un administrateur légitime à effectuer une action malveillante, comme cliquer sur un lien compromis. Le risque est donc élevé, car il permet une prise de contrôle complète de l'application et potentiellement du serveur WordPress hébergeant le thème.
La vulnérabilité CVE-2025-2798 a été rendue publique le 4 avril 2025. Il n'y a pas d'indications d'une inscription au KEV à ce jour. Bien qu'aucun proof-of-concept public n'ait été largement diffusé, la simplicité de l'exploitation suggère une probabilité d'exploitation élevée. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour sur l'exploitation active.
Organizations using Woffice CRM, particularly those with custom login forms or relying on the standard user registration process, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server are also vulnerable, as a compromise of one site could potentially impact others. Sites using older, unpatched versions of WordPress are also at increased risk due to potential compatibility issues.
• wordpress / composer / npm:
wp plugin list | grep woffice• wordpress / composer / npm:
wp plugin update woffice• wordpress / composer / npm:
grep -r 'excluded_roles' /var/www/html/wp-content/plugins/wooffice-crm/*• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wooffice_register_userdisclosure
patch
Statut de l'Exploit
EPSS
1.05% (percentile 77%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour immédiatement le thème Woffice CRM vers la version 5.4.22 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, il est fortement recommandé de désactiver temporairement le thème ou de restreindre l'accès au formulaire de connexion personnalisé. En attendant la mise à jour, examinez attentivement les logs d'accès et d'erreurs de WordPress pour détecter toute tentative d'inscription suspecte. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue du trafic vers le formulaire de connexion est conseillée. Après la mise à jour, vérifiez que les rôles d'administrateur sont correctement gérés et que seuls les utilisateurs autorisés peuvent accéder aux fonctionnalités administratives.
Mettez à jour le thème Woffice CRM à la version 5.4.22 ou supérieure pour corriger la vulnérabilité de contournement d'authentification. Cette mise à jour corrige la mauvaise configuration des rôles exclus lors de l'inscription, empêchant les attaquants non authentifiés de s'inscrire avec des privilèges d'administrateur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-2798 is a critical vulnerability in Woffice CRM allowing unauthenticated attackers to register with Administrator roles due to a misconfigured registration process.
If you are using Woffice CRM versions 0.0.0 through 5.4.21, you are affected by this vulnerability and must upgrade immediately.
Upgrade Woffice CRM to version 5.4.22 or later to resolve the Authentication Bypass vulnerability. Consider temporary mitigations if immediate upgrade is not possible.
While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation. Monitor security advisories.
Refer to the official Woffice CRM website or WordPress plugin repository for the latest security advisory and update information regarding CVE-2025-2798.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.