Plateforme
wordpress
Composant
wp-optimizer
Corrigé dans
2.5.4
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WP Optimizer de sh1zen. Cette faille permet à un attaquant d'exploiter une injection SQL, compromettant potentiellement l'intégrité de la base de données. Elle affecte les versions du plugin de 0.0.0 à 2.5.0. Une version corrigée, 2.5.4, est désormais disponible.
L'exploitation réussie de cette vulnérabilité CSRF/SQL Injection permet à un attaquant d'exécuter des requêtes SQL arbitraires sur la base de données du site WordPress. Cela peut conduire à la lecture, la modification ou la suppression de données sensibles, telles que les informations des utilisateurs, les mots de passe hachés, les données de commandes et les configurations du site. Un attaquant pourrait également utiliser cette faille pour obtenir un contrôle total sur le site WordPress, en modifiant les fichiers du site ou en installant des portes dérobées. Bien que la vulnérabilité soit liée à un plugin spécifique, l'impact sur le site web peut être significatif, entraînant une perte de données, une atteinte à la réputation et une interruption de service.
Cette vulnérabilité a été rendue publique le 2025-06-27. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la sévérité CRITICAL du CVSS indique un risque élevé. La présence d'une injection SQL via CSRF augmente considérablement la probabilité d'exploitation. Il est probable que des preuves de concept (PoC) soient rapidement disponibles.
Websites utilizing the WP Optimizer plugin, particularly those running older versions (0.0.0–2.5.0), are at significant risk. Shared hosting environments where WordPress installations have limited control over plugin updates are especially vulnerable. Sites with sensitive data or those handling user authentication are at the highest risk.
• wordpress / composer / npm:
grep -r "wp-optimizer" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep wp-optimizer• wordpress / composer / npm:
wp plugin update wp-optimizer --version=2.5.4disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour WP Optimizer vers la version 2.5.4 ou supérieure. Si la mise à jour n'est pas possible immédiatement, il est recommandé de désactiver temporairement le plugin. En attendant la mise à jour, l'implémentation de règles WAF (Web Application Firewall) pour bloquer les requêtes CSRF malveillantes peut offrir une protection supplémentaire. Vérifiez également les logs du serveur web et de la base de données pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité de la base de données et assurez-vous qu'aucune donnée n'a été compromise.
Mettez à jour le plugin WP Optimizer à la version 2.5.4 ou supérieure pour atténuer la vulnérabilité Cross-Site Request Forgery (CSRF) qui pourrait permettre une Injeção SQL (SQL Injection). Assurez-vous de sauvegarder votre site web avant de mettre à jour tout plugin. Consultez la documentation du plugin pour obtenir des instructions détaillées sur la façon de procéder à la mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-53314 is a critical Cross-Site Request Forgery (CSRF) vulnerability in WP Optimizer that allows for SQL Injection, potentially compromising the WordPress site's database.
Yes, if you are using WP Optimizer versions 0.0.0 through 2.5.0, you are vulnerable to this CSRXSS and SQL Injection vulnerability.
Upgrade the WP Optimizer plugin to version 2.5.4 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
While no active exploitation has been confirmed, the high CVSS score and combination of CSRF and SQL Injection suggest a high probability of exploitation.
Refer to the WP Optimizer plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.