Plateforme
wordpress
Composant
simple-stripe
Corrigé dans
0.9.18
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WordPress Simple Stripe. Cette faille permet à un attaquant d'exploiter une attaque de type Cross-Site Scripting (XSS) stockée, compromettant potentiellement l'intégrité et la confidentialité des données des utilisateurs. Les versions affectées concernent Simple Stripe de la version 0.0.0 jusqu'à la version 0.9.17. Une version corrigée, la 0.9.18, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter du code JavaScript malveillant dans les pages du site WordPress. Ce code peut être exécuté dans le navigateur des utilisateurs, leur permettant de voler des cookies de session, de rediriger les utilisateurs vers des sites web malveillants, ou de modifier le contenu du site web. L'attaquant peut ainsi compromettre les informations sensibles des utilisateurs, telles que les données de paiement ou les informations personnelles. Le caractère stocké de l'XSS signifie que le code malveillant persiste sur le serveur, ce qui augmente la surface d'attaque et la durée de l'impact. Une attaque réussie pourrait également être utilisée pour effectuer des actions au nom d'un utilisateur authentifié sans son consentement.
Cette vulnérabilité a été publiée le 6 novembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Aucun Proof of Concept (PoC) public n'est connu à ce jour, ce qui réduit le risque d'exploitation à court terme. La sévérité CVSS de 7.1 (HIGH) indique un risque significatif si la vulnérabilité est exploitée.
Websites using the ZIPANG Simple Stripe plugin, particularly those handling sensitive user data or financial transactions, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/simple-stripe/*• wordpress / composer / npm:
wp plugin list --status=inactive | grep simple-stripe• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress plugin directory for updates and security advisories related to Simple Stripe.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Simple Stripe vers la version 0.9.18 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le plugin Simple Stripe. En attendant la mise à jour, il est possible de mettre en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes CSRF suspectes. Il est également conseillé de renforcer les mesures de sécurité du site WordPress, telles que l'utilisation de mots de passe forts et l'activation de l'authentification à deux facteurs. Après la mise à jour, vérifiez que le plugin fonctionne correctement et qu'il n'y a pas de conflits avec d'autres plugins ou thèmes.
Mettez à jour le plugin Simple Stripe vers la dernière version disponible pour atténuer la vulnérabilité CSRF qui pourrait mener à l'exécution de code XSS. Consultez la page du plugin sur WordPress.org pour obtenir la version la plus récente et les instructions de mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-48085 is a Stored Cross-Site Scripting (XSS) vulnerability in the ZIPANG Simple Stripe WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using ZIPANG Simple Stripe versions 0.0.0 through 0.9.17. Upgrade to 0.9.18 or later to mitigate the risk.
Upgrade the ZIPANG Simple Stripe plugin to version 0.9.18 or later. Consider a WAF rule as a temporary workaround if immediate upgrade is not possible.
No active exploitation has been confirmed as of 2025-11-06, but the vulnerability's nature suggests a moderate probability of exploitation.
Check the ZIPANG Simple Stripe plugin page on WordPress.org or the developer's website for the official advisory.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.