Plateforme
wordpress
Composant
allmart-core
Corrigé dans
1.0.1
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans le thème WordPress Allmart. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes, potentiellement sensibles. Elle affecte les versions du thème Allmart comprises entre 0 et 1.0.0 inclus. Une version corrigée, 1.0.1, est désormais disponible.
L'exploitation réussie de cette vulnérabilité SSRF peut permettre à un attaquant d'accéder à des ressources internes qui ne sont pas directement accessibles depuis l'extérieur du réseau. Cela peut inclure des informations sensibles stockées sur le serveur, des métadonnées de configuration, ou même d'autres services internes. Un attaquant pourrait également utiliser cette faille pour scanner le réseau interne à la recherche d'autres vulnérabilités, ou pour lancer des attaques contre d'autres systèmes. Le risque est amplifié si le serveur WordPress est configuré pour accéder à des services cloud ou à des bases de données contenant des informations confidentielles.
Cette vulnérabilité a été publiée le 4 juillet 2025. Il n'y a pas d'indications d'exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est connu. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Websites using the Allmart WordPress theme, particularly those with sensitive internal services or data accessible via HTTP/HTTPS, are at risk. Shared hosting environments where multiple websites share the same server infrastructure are also at increased risk, as a compromised Allmart installation on one site could potentially be used to attack other sites on the same server.
• wordpress / composer / npm:
grep -r 'http://' /var/www/html/wp-content/themes/allmart-core/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/themes/allmart-core/ | grep -i 'server:'disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour le thème Allmart vers la version 1.0.1 ou supérieure. En attendant la mise à jour, il est possible de limiter l'impact en configurant un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes. Vérifiez également les règles de votre proxy inverse pour restreindre les domaines auxquels le thème peut accéder. Enfin, assurez-vous que les URL utilisées par le thème sont correctement validées et filtrées pour empêcher l'injection de requêtes malveillantes. Après la mise à jour, vérifiez que le thème ne peut plus effectuer de requêtes vers des adresses externes non autorisées en utilisant des outils de test de sécurité.
Mettez à jour le plugin Allmart vers la dernière version disponible pour atténuer la vulnérabilité SSRF. Vérifiez les mises à jour du plugin dans le tableau de bord d'administration de WordPress ou dans le dépôt officiel des plugins WordPress. Implémentez des mesures de sécurité supplémentaires, telles que la validation des entrées et la restriction d'accès aux ressources sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-49418 est une vulnérabilité SSRF (Server-Side Request Forgery) dans le thème WordPress Allmart, permettant à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes.
Vous êtes affecté si vous utilisez le thème Allmart dans les versions 0–1.0.0. Mettez à jour vers la version 1.0.1 ou supérieure pour corriger la vulnérabilité.
La solution est de mettre à jour le thème Allmart vers la version 1.0.1 ou supérieure. En attendant, configurez un WAF ou limitez l'accès aux URL externes.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de CVE-2025-49418.
Consultez le site web du développeur Allmart ou le dépôt WordPress du thème pour obtenir les informations officielles et les mises à jour concernant CVE-2025-49418.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.