Plateforme
wordpress
Composant
pdf-creator-lite
Corrigé dans
1.2.1
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans PDF Creator Lite, permettant une attaque de Cross-Site Scripting (XSS) stockée. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant dans des pages web consultées par d'autres utilisateurs. Elle affecte les versions de PDF Creator Lite comprises entre 0.0.0 et 1.2 inclus.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut conduire au vol de cookies de session, à la redirection vers des sites malveillants, ou à la modification du contenu de la page web. L'attaque XSS stockée, facilitée par le CSRF, rend la compromission plus persistante, car le code malveillant est stocké sur le serveur et peut affecter plusieurs utilisateurs. Le risque est amplifié si PDF Creator Lite est utilisé dans un environnement partagé ou sur des sites web avec des privilèges d'administration.
La vulnérabilité a été rendue publique le 2025-12-09. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun PoC public n'a été identifié, mais la nature de la vulnérabilité CSRF/XSS la rend potentiellement exploitable. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une interaction utilisateur pour déclencher l'attaque.
WordPress websites utilizing the PDF Creator Lite plugin, particularly those running older, unpatched versions (0.0.0–1.2), are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the necessary updates. Sites with user-generated content processed by the plugin are especially susceptible.
• wordpress / composer / npm:
grep -r "PDF Creator Lite" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "PDF Creator Lite"• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/pdf-creator-lite/ | grep -i 'X-Frame-Options'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour PDF Creator Lite vers une version corrigée, dès que celle-ci sera disponible. En attendant, il est possible de mettre en place des mesures de protection temporaires. L'implémentation de politiques de sécurité de contenu (CSP) peut aider à atténuer le risque d'exécution de scripts malveillants. De plus, l'utilisation de jetons CSRF pour valider les requêtes peut empêcher les attaques CSRF. Vérifiez après la mise à jour que les jetons CSRF sont correctement générés et validés pour chaque requête sensible.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-49341 is a Cross-Site Request Forgery (CSRF) vulnerability in the PDF Creator Lite WordPress plugin, allowing for Stored XSS attacks. It affects versions 0.0.0 through 1.2.
If you are using PDF Creator Lite plugin versions 0.0.0 to 1.2 on your WordPress site, you are potentially affected by this vulnerability.
The recommended fix is to update the PDF Creator Lite plugin to the latest available version that addresses the CSRF vulnerability. Check the WordPress plugin repository for updates.
While no public exploits are currently known, the CSRF/XSS combination is a common attack vector, so active exploitation is possible.
Check the official PDF Creator Lite plugin page on the WordPress plugin repository or the developer's website for the advisory.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.