Plateforme
wordpress
Composant
adstxt-guru-connect
Corrigé dans
1.1.2
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans ads.txt Guru Connect, affectant les versions de 0.0.0 à 1.1.1. Cette faille permet à un attaquant d'effectuer des actions au nom d'un utilisateur authentifié sans son consentement. La mise à jour vers la version 1.1.2 corrige ce problème. Une correction est disponible.
La vulnérabilité CSRF dans ads.txt Guru Connect permet à un attaquant de manipuler les requêtes HTTP envoyées par un utilisateur authentifié. Un attaquant pourrait exploiter cette faille pour modifier les paramètres de configuration, supprimer des données ou effectuer d'autres actions malveillantes au nom de l'utilisateur. L'impact potentiel est élevé, car un attaquant pourrait compromettre l'intégrité des données et la sécurité du système. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans nécessiter d'authentification préalable, à condition que l'utilisateur soit déjà connecté à l'application.
Cette vulnérabilité a été publiée le 20 août 2025. Il n'y a pas d'informations disponibles concernant son exploitation active ou sa présence dans le KEV de CISA. Des preuves de concept publiques ne sont pas encore connues, mais la gravité élevée de la vulnérabilité suggère qu'elle pourrait être exploitée à l'avenir.
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour ads.txt Guru Connect vers la version 1.1.2, qui corrige la vulnérabilité CSRF. En attendant la mise à jour, il est possible de mettre en œuvre des mesures de protection CSRF, telles que l'utilisation de jetons CSRF dans les formulaires et les requêtes sensibles. L'implémentation de politiques de sécurité de contenu (CSP) peut également aider à atténuer le risque en limitant les sources de contenu que le navigateur est autorisé à charger. Après la mise à jour, vérifiez que les protections CSRF sont correctement implémentées en testant les formulaires et les requêtes sensibles.
Mettez à jour le plugin ads.txt Guru Connect à la dernière version disponible pour atténuer la vulnérabilité de Cross-Site Request Forgery (CSRF). Vérifiez les mises à jour dans le dépôt WordPress ou sur le site web du développeur. Implémentez des mesures de sécurité supplémentaires, telles que la validation des tokens CSRF, pour renforcer la protection.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-49381 is a critical Cross-Site Request Forgery (CSRF) vulnerability affecting ads.txt Guru Connect versions 0.0.0–1.1.1, allowing attackers to forge requests and potentially modify ad settings.
You are affected if you are using ads.txt Guru Connect versions 0.0.0 through 1.1.1. Upgrade to version 1.1.2 to mitigate the vulnerability.
The recommended fix is to upgrade to version 1.1.2 of ads.txt Guru Connect. As a temporary workaround, implement CSRF tokens and consider a Content Security Policy (CSP).
Currently, no public Proof-of-Concept (POC) exploits are known, and the vulnerability is not listed on KEV or EPSS, suggesting a low to medium probability of active exploitation.
Refer to the ads.txt Guru Connect official website or security advisory channels for the latest information and updates regarding CVE-2025-49381.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.