Plateforme
wordpress
Composant
sensitive-tag-cloud
Corrigé dans
1.4.2
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WordPress SensitiveTagCloud. Cette faille permet à un attaquant d'exploiter le CSRF pour injecter du code JavaScript malveillant, menant à une attaque de type Cross-Site Scripting (XSS) stockée. Les versions concernées sont celles comprises entre 0.0.0 et 1.4.1 incluses. La mise à jour vers une version corrigée est la solution recommandée.
L'exploitation réussie de cette vulnérabilité CSRF/XSS permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut conduire au vol de cookies de session, à la redirection vers des sites malveillants, à la modification du contenu du site web et potentiellement au contrôle du compte utilisateur. Le risque est amplifié si le site web est utilisé pour des transactions sensibles ou contient des informations personnelles. Une attaque XSS stockée est particulièrement dangereuse car le code malveillant persiste sur le serveur et peut affecter plusieurs utilisateurs.
La vulnérabilité a été publiée le 31 décembre 2025. Aucune preuve d'exploitation active n'est actuellement disponible. L'évaluation de la probabilité d'exploitation est considérée comme moyenne en raison de la nature CSRF et XSS, qui sont des vecteurs d'attaque courants. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
Websites using the SensitiveTagCloud plugin, particularly those with user-generated content or forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'sensitive-tag-cloud/sensitive-tag-cloud' /var/www/html/
wp plugin list | grep sensitive-tag-cloud• generic web:
curl -I https://example.com/ | grep -i 'sensitive-tag-cloud'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin SensitiveTagCloud vers une version corrigée, dès qu'elle sera disponible. En attendant, des mesures de protection CSRF peuvent être mises en place, telles que l'implémentation de tokens CSRF sur les formulaires sensibles du plugin. L'utilisation d'un Web Application Firewall (WAF) configuré pour bloquer les requêtes CSRF peut également aider à atténuer le risque. Vérifiez après la mise à jour que les formulaires sensibles du plugin utilisent des tokens CSRF valides.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-49344 décrit une vulnérabilité CSRF qui permet une attaque XSS stockée dans le plugin WordPress SensitiveTagCloud, affectant les versions de 0.0.0 à 1.4.1 incluses.
Vous êtes affecté si vous utilisez le plugin SensitiveTagCloud dans une version inférieure ou égale à 1.4.1. Vérifiez la version installée sur votre site WordPress.
La solution recommandée est de mettre à jour le plugin SensitiveTagCloud vers la dernière version disponible. En attendant, appliquez des mesures de protection CSRF.
À ce jour, aucune preuve d'exploitation active n'est disponible, mais la vulnérabilité est considérée comme potentiellement exploitable en raison de sa nature CSRF/XSS.
Consultez le site web du développeur de SensitiveTagCloud ou les canaux de communication officiels pour obtenir des informations et des mises à jour concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.