Plateforme
wordpress
Composant
wp-gdpr-cookie-consent
Corrigé dans
1.0.1
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WP GDPR Cookie Consent. Cette faille permet à un attaquant d'exploiter une attaque de type Cross-Site Scripting (XSS) stockée, compromettant potentiellement la sécurité des données des utilisateurs et l'intégrité du site. Elle affecte les versions du plugin comprises entre n/a et 1.0.0 incluses. Une version corrigée (1.0.1) est désormais disponible.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, sans son consentement. Dans le cas présent, l'attaquant peut injecter du code JavaScript malveillant (XSS stockée) via des requêtes CSRF. Ce code peut être utilisé pour voler des cookies de session, rediriger l'utilisateur vers des sites malveillants, modifier le contenu du site ou même compromettre l'ensemble de l'installation WordPress. Le risque est accru si le plugin est utilisé sur des sites avec des données sensibles ou des formulaires de connexion.
Cette vulnérabilité a été rendue publique le 6 novembre 2025. Aucune preuve d'exploitation active n'est actuellement disponible, mais la combinaison d'une vulnérabilité CSRF et XSS stockée la rend potentiellement dangereuse. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Websites using the WP GDPR Cookie Consent plugin, particularly those running older versions (1.0.0 and earlier), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a vulnerability in one site could potentially impact others. Sites relying on the plugin for GDPR compliance are especially vulnerable, as a successful attack could compromise user data and violate privacy regulations.
• wordpress / composer / npm:
grep -r "wp_gdpr_cookie_consent" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=all | grep wp-gdpr-cookie-consent• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-gdpr-cookie-consent/ | grep -i '1.0.0'disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour immédiatement le plugin WP GDPR Cookie Consent vers la version 1.0.1 ou supérieure. Si la mise à jour n'est pas possible immédiatement, il est recommandé de désactiver temporairement le plugin. En attendant, implémentez des mesures de sécurité supplémentaires, telles que la validation stricte des entrées utilisateur et l'utilisation de tokens CSRF pour protéger les formulaires sensibles. Surveillez également les journaux d'accès et d'erreurs du serveur pour détecter toute activité suspecte.
Mettez à jour le plugin WP GDPR Cookie Consent à la dernière version disponible pour atténuer la vulnérabilité Cross-Site Request Forgery (CSRF). Vérifiez la page du plugin sur WordPress.org pour obtenir la version la plus récente et les instructions de mise à jour. Implémentez des mesures de sécurité supplémentaires, telles que la validation des entrées et l'encodage des sorties, pour vous protéger contre de futures attaques CSRF.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-53316 is a Cross-Site Request Forgery (CSRF) vulnerability in the WP GDPR Cookie Consent plugin that allows for Stored XSS attacks, potentially compromising user data and website security.
You are affected if you are using WP GDPR Cookie Consent version 1.0.0 or earlier. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade the WP GDPR Cookie Consent plugin to version 1.0.1 or later. Implement WAF rules as a temporary workaround if upgrading is not immediately possible.
While no active exploitation has been confirmed, the CSRF/XSS combination is a well-known attack pattern, and exploitation is possible.
Refer to the official WP GDPR Cookie Consent plugin documentation and website for the latest advisory and security updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.