Plateforme
wordpress
Composant
noindex-by-path
Corrigé dans
1.0.1
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WordPress Noindex by Path, permettant l'exécution de code JavaScript malveillant via une attaque de Cross-Site Scripting (XSS) stockée. Cette faille affecte les versions de Noindex by Path comprises entre 0.0.0 et 1.0 inclus. Une mise à jour vers une version corrigée est recommandée pour éliminer ce risque.
L'exploitation réussie de cette vulnérabilité CSRF/XSS permet à un attaquant d'injecter du code JavaScript malveillant dans le site web WordPress. Un attaquant pourrait ainsi compromettre les sessions des utilisateurs, voler des informations sensibles (cookies, jetons d'authentification), ou même prendre le contrôle du site web. L'attaque XSS stockée signifie que le code malveillant est stocké sur le serveur (par exemple, dans une base de données) et exécuté à chaque fois qu'un utilisateur accède à la page affectée. Cela augmente considérablement le risque et la portée de l'attaque, car elle peut affecter tous les utilisateurs du site web.
La vulnérabilité a été rendue publique le 31 décembre 2025. Il n'y a pas d'indications d'exploitation active à ce jour, ni de PoC publiquement disponibles. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA. La sévérité est classée comme élevée (CVSS 7.1) en raison du potentiel d'exécution de code JavaScript malveillant.
Websites using the Noindex by Path WordPress plugin, particularly those with user accounts or sensitive data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r "noindex_by_path" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep noindex-by-path• wordpress / composer / npm:
wp plugin update noindex-by-pathdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Noindex by Path vers une version corrigée dès que possible. En attendant la mise à jour, des mesures de protection peuvent être mises en place. L'utilisation de Content Security Policy (CSP) peut aider à atténuer le risque d'exécution de scripts malveillants. De plus, l'implémentation de protections CSRF au niveau de l'application (par exemple, en utilisant des jetons CSRF) peut réduire la surface d'attaque. Il est également recommandé de surveiller les logs du serveur pour détecter toute activité suspecte.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-49353 décrit une vulnérabilité CSRF permettant une XSS stockée dans le plugin WordPress Noindex by Path, permettant à un attaquant d'injecter du code malveillant.
Si vous utilisez Noindex by Path dans sa version 0.0.0 à 1.0, vous êtes potentiellement affecté. Vérifiez immédiatement votre version et mettez à jour si nécessaire.
La solution recommandée est de mettre à jour Noindex by Path vers la dernière version disponible, qui corrige cette vulnérabilité. En attendant, appliquez des mesures de protection comme CSP.
À l'heure actuelle, il n'y a pas d'indications d'exploitation active de CVE-2025-49353, mais la vulnérabilité reste présente dans les versions non corrigées.
Consultez le site web du développeur Noindex by Path ou le dépôt GitHub du plugin pour obtenir des informations et des mises à jour concernant CVE-2025-49353.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.