Plateforme
wordpress
Composant
buddypress-humanity
Corrigé dans
1.2.1
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans Buddypress Humanity, un plugin WordPress. Cette faille permet à un attaquant d'effectuer des actions non autorisées sur un compte utilisateur authentifié, potentiellement compromettant des données sensibles et le contrôle du site. Elle affecte les versions de Buddypress Humanity comprises entre 0.0.0 et 1.2. Une version corrigée, 1.2.1, est désormais disponible.
La vulnérabilité CSRF exploite la confiance qu'un site web a dans un utilisateur authentifié. Un attaquant peut créer une requête malveillante (par exemple, un lien ou un formulaire) qui, lorsqu'elle est exécutée par un utilisateur connecté à Buddypress Humanity, effectue des actions non désirées. Cela pourrait inclure la modification des paramètres du profil utilisateur, la suppression de contenu, ou même l'accès à des fonctionnalités administratives si l'utilisateur possède des privilèges élevés. L'impact est amplifié si l'attaquant peut compromettre plusieurs comptes utilisateurs, ce qui pourrait entraîner une perte de contrôle significative du site WordPress.
Cette vulnérabilité a été publiée le 9 avril 2025. Il n'y a pas d'indications d'exploitation active à ce jour, ni de preuve de son inclusion dans le catalogue KEV de CISA. Aucun Proof of Concept (PoC) public n'est actuellement disponible, mais la nature de la vulnérabilité CSRF signifie qu'un tel PoC pourrait être développé relativement facilement.
WordPress websites utilizing the Buddypress Humanity plugin, particularly those with shared hosting environments or legacy configurations, are at increased risk. Sites with weak password policies or users who frequently click on suspicious links are also more vulnerable to CSRF attacks.
• wordpress / composer / npm:
grep -r 'humanity_settings_update' /var/www/html/wp-content/plugins/• generic web:
curl -I https://example.com/wp-content/plugins/buddypress-humanity/ | grep -i 'csrf-token'disclosure
Statut de l'Exploit
EPSS
0.17% (percentile 39%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Buddypress Humanity vers la version 1.2.1, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en activant des protections CSRF au niveau du serveur web (par exemple, en configurant des en-têtes HTTP tels que X-XSS-Protection et Content-Security-Policy). L'utilisation d'un plugin de sécurité WordPress avec des fonctionnalités CSRF peut également aider à atténuer le risque. Après la mise à jour, vérifiez que les fonctionnalités sensibles nécessitent une authentification supplémentaire et qu'elles sont protégées contre les requêtes non autorisées.
Mettez à jour le plugin Buddypress Humanity vers la dernière version disponible pour atténuer la vulnérabilité CSRF. Vérifiez les mises à jour du plugin directement dans le tableau de bord d'administration de WordPress ou via le dépôt de plugins WordPress. Implémentez des mesures de sécurité supplémentaires, telles que la validation des entrées et l'encodage des sorties, pour prévenir de futures attaques CSRF.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-31033 is a critical Cross-Site Request Forgery (CSRF) vulnerability affecting the Buddypress Humanity WordPress plugin, allowing attackers to perform unauthorized actions.
Yes, if you are using Buddypress Humanity versions 0.0.0 through 1.2, you are affected by this vulnerability.
Upgrade the Buddypress Humanity plugin to version 1.2.1 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
While no public exploits are currently known, the CSRF nature of the vulnerability suggests a moderate probability of exploitation.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.