Plateforme
php
Composant
galette/galette
Corrigé dans
1.2.1
La vulnérabilité CVE-2025-58053 affecte Galette, une application web de gestion de membres pour organisations à but non lucratif. Avant la version 1.2.0, un attaquant pouvait exploiter une faille d'escalade de privilèges en modifiant des comptes existants via une requête POST forgée. Cette vulnérabilité permet d'accéder à des fonctionnalités et données auxquelles l'attaquant ne devrait pas avoir accès. La version 1.2.0 corrige cette faille.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'obtenir des privilèges supérieurs à ceux qui lui sont normalement accordés dans Galette. Cela peut se traduire par un accès non autorisé aux données sensibles des membres, la modification de leurs informations, voire la prise de contrôle de certaines fonctionnalités de l'application. L'attaquant pourrait ainsi compromettre l'intégrité des données et perturber le fonctionnement de l'organisation. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la simplicité de l'exploitation rend cette vulnérabilité préoccupante.
La vulnérabilité a été publiée le 19 décembre 2025. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation et de la popularité de Galette parmi les organisations à but non lucratif. Aucune entrée n'est présente dans le KEV de CISA.
Non-profit organizations utilizing Galette for membership management are at risk. Specifically, deployments with older versions of Galette (≤ 1.2.0) and those lacking robust input validation on account update forms are particularly vulnerable. Shared hosting environments where multiple Galette instances share resources could also experience broader impact if one instance is compromised.
• wordpress / composer / npm:
grep -r 'POST /account/update' /var/www/galette/app/config/routing.php• generic web:
curl -I http://your-galette-instance/account/update | grep HTTP/1.1 200 OKdisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 20%)
CISA SSVC
La solution principale consiste à mettre à jour Galette vers la version 1.2.0 ou supérieure, qui corrige la vulnérabilité. En attendant la mise à jour, il est recommandé de renforcer les contrôles d'accès et d'authentification de l'application. Limiter les autorisations des utilisateurs et mettre en place une surveillance accrue des activités suspectes peut aider à atténuer le risque. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une validation stricte des requêtes POST peut aider à prévenir l'exploitation.
Actualice Galette a la versión 1.2.0 o superior. Esta versión corrige la vulnerabilidad de escalada de privilegios. La actualización se puede realizar a través del panel de administración de Galette o descargando la nueva versión del sitio web oficial y reemplazando los archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-58053 is a vulnerability in Galette versions prior to 1.2.0 that allows an attacker to gain higher privileges by forging a POST request during account updates.
You are affected if you are running Galette version 1.2.0 or earlier. Upgrade to version 1.2.0 to mitigate the risk.
Upgrade Galette to version 1.2.0 or later. Implement stricter input validation on account update forms as an interim measure.
There are currently no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the Galette project's official security advisories and release notes for details: [https://galette.org/](https://galette.org/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.