Plateforme
wordpress
Composant
wing-migrator
Corrigé dans
1.2.1
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WING WordPress Migrator. Cette faille permet à un attaquant d'uploader une Web Shell sur le serveur web, compromettant potentiellement l'ensemble de l'installation WordPress. Les versions affectées sont celles comprises entre 0.0.0 et 1.2.0 incluses. Une version corrigée, 2.0.0, est désormais disponible.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant de contourner les mécanismes d'authentification et d'autoriser des actions non autorisées sur le serveur web. Dans le cas présent, l'attaquant peut télécharger une Web Shell, un script malveillant qui lui offre un accès distant et persistant au serveur. Cela peut conduire à la compromission complète du site WordPress, incluant le vol de données sensibles, la modification du contenu, ou l'utilisation du serveur pour lancer des attaques contre d'autres systèmes. La gravité critique de cette vulnérabilité est due à la facilité d'exploitation et à l'impact potentiellement dévastateur.
Cette vulnérabilité a été publiée le 30 décembre 2025. Il n'y a pas d'indication d'exploitation active à ce jour, ni de Proof of Concept (PoC) publiquement disponible. La vulnérabilité est considérée comme ayant une probabilité d'exploitation élevée en raison de sa simplicité et de son impact critique. Elle n'a pas encore été ajoutée au catalogue KEV de CISA.
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin WING WordPress Migrator vers la version 2.0.0 ou supérieure. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. Il est recommandé de désactiver temporairement le plugin si cela n'impacte pas les fonctionnalités essentielles du site. L'utilisation d'un Web Application Firewall (WAF) avec des règles CSRF peut également aider à atténuer le risque. Vérifiez après la mise à jour que le plugin fonctionne correctement et que les fonctionnalités de migration sont toujours disponibles.
Mettre à jour vers la version 2.0.0, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-52835 is a critical Cross-Site Request Forgery (CSRF) vulnerability in the WING WordPress Migrator plugin, allowing attackers to upload web shells and potentially gain full control of a WordPress site.
You are affected if you are using WING WordPress Migrator versions 0.0.0 through 1.2.0. Check your plugin version immediately and upgrade if necessary.
Upgrade the WING WordPress Migrator plugin to version 2.0.0 or later. If immediate upgrade isn't possible, disable the plugin temporarily.
While there's no confirmed active exploitation currently, the vulnerability's severity and ease of exploitation suggest it's likely to be targeted soon.
Refer to the ConoHa by GMO WING website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-52835.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.