Plateforme
wordpress
Composant
social-profilr-display-social-network-profile
Corrigé dans
1.0.1
Une vulnérabilité CSRF (Cross-Site Request Forgery) a été découverte dans le plugin WordPress Social Profilr. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, menant potentiellement à une XSS stockée. Elle affecte les versions de Social Profilr comprises entre 0.0.0 et 1.0 inclus. La publication de cette vulnérabilité a eu lieu le 31 décembre 2025.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant de manipuler les requêtes HTTP envoyées au plugin Social Profilr. En combinant cette faille avec la possibilité d'une XSS stockée, un attaquant pourrait potentiellement injecter du code JavaScript malveillant dans les pages du site web. Ce code pourrait être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites malveillants, ou même modifier le contenu du site. Le risque est accru si le plugin est utilisé dans des environnements sensibles où des informations personnelles sont traitées.
La vulnérabilité a été publiée le 31 décembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. La présence d'une XSS stockée associée à la CSRF augmente la sévérité de la vulnérabilité. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour tout signe d'exploitation.
Websites utilizing the Social Profilr WordPress plugin, particularly those with user accounts and social network integration, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially impact others.
• wordpress / plugin:
grep -r 'socialprofilr_display_social_network_profile' /var/www/html/wp-content/plugins/• wordpress / plugin:
wp plugin list --status=inactive | grep socialprofilr• wordpress / plugin:
wp plugin list | grep socialprofilrdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Social Profilr vers une version corrigée, dès qu'elle sera disponible. En attendant, il est possible de mettre en place des mesures de protection temporaires. L'utilisation d'en-têtes CSRF tokens dans les formulaires du plugin peut aider à atténuer le risque. De plus, la configuration d'un Web Application Firewall (WAF) capable de détecter et de bloquer les requêtes CSRF peut offrir une couche de protection supplémentaire. Surveillez attentivement les logs du serveur pour détecter des activités suspectes.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-49343 is a Cross-Site Request Forgery (CSRF) vulnerability in the Social Profilr WordPress plugin, allowing attackers to perform actions as authenticated users and potentially execute Stored XSS.
You are affected if your WordPress site uses the Social Profilr plugin and is running version 0.0.0 through 1.0. Immediate mitigation is recommended.
Upgrade to a patched version of the Social Profilr plugin as soon as it becomes available. Until then, implement input validation and consider using a WAF.
There is currently no confirmed active exploitation of CVE-2025-49343, but the HIGH severity score indicates a potential risk.
Refer to the Social Profilr plugin's official website or WordPress plugin repository for updates and advisories regarding CVE-2025-49343.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.