Plateforme
wordpress
Composant
recent-posts-from-each-category
Corrigé dans
1.4.1
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WordPress « Recent Posts From Each Category ». Cette faille permet à un attaquant d'exploiter une XSS stockée, compromettant potentiellement la sécurité des utilisateurs. Elle affecte les versions du plugin comprises entre 0.0.0 et 1.4 inclus. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant d'injecter du code JavaScript malveillant dans le plugin Recent Posts From Each Category. Ce code malveillant peut ensuite être exécuté dans le contexte du navigateur de l'utilisateur, permettant à l'attaquant de voler des cookies de session, de modifier le contenu du site web, ou de rediriger l'utilisateur vers un site malveillant. La XSS stockée amplifie l'impact, car le code malveillant persiste et peut affecter plusieurs utilisateurs sans intervention continue de l'attaquant. Le risque est accru si le plugin est utilisé sur des sites web avec des données sensibles ou des comptes privilégiés.
La vulnérabilité a été rendue publique le 31 décembre 2025. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est actuellement disponible, mais la nature de la vulnérabilité CSRF et la possibilité d'une XSS stockée suggèrent un risque potentiel d'exploitation. Cette vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Websites using the Recent Posts From Each Category plugin, particularly those with user accounts and sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'recent-posts-from-each-category' /var/www/html/wp-content/plugins/• generic web:
curl -I https://example.com/wp-content/plugins/recent-posts-from-each-category/ | grep -i 'content-security-policy'• wordpress / composer / npm:
wp plugin list --status=inactive | grep recent-posts-from-each-categorydisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation consiste à mettre à jour le plugin « Recent Posts From Each Category » vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé d'implémenter des protections CSRF au niveau de l'application, telles que la validation des tokens CSRF sur les formulaires et les requêtes sensibles. Envisagez également de configurer un Web Application Firewall (WAF) pour bloquer les requêtes CSRF malveillantes. Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'aucune fonctionnalité n'est compromise.
Aucun correctif connu n'est disponible. Veuillez examiner attentivement les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-49354 is a Cross-Site Request Forgery (CSRF) vulnerability in the Mindstien Technologies Recent Posts From Each Category WordPress plugin, allowing for Stored XSS attacks.
You are affected if you are using the Recent Posts From Each Category plugin in versions 0.0.0 through 1.4.
Upgrade to a patched version of the plugin as soon as it's available. Disable the plugin as a temporary workaround.
Active exploitation is not currently confirmed, but the vulnerability warrants careful monitoring.
Check the Mindstien Technologies website and the WordPress plugin repository for updates and advisories.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.