Plateforme
wordpress
Composant
wp-caldav2ics
Corrigé dans
1.3.5
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WP-CalDav2ICS pour WordPress. Cette faille permet à un attaquant d'exploiter une XSS stockée, compromettant potentiellement la sécurité des données et des utilisateurs. Elle affecte les versions du plugin de 0.0.0 à 1.3.4 incluses. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité CSRF/XSS permet à un attaquant d'injecter du code JavaScript malveillant dans le site WordPress. Ce code peut être exécuté dans le contexte du navigateur de l'utilisateur, permettant à l'attaquant de voler des cookies de session, de modifier le contenu du site web, de rediriger les utilisateurs vers des sites malveillants ou d'effectuer d'autres actions au nom de l'utilisateur. Le risque est accru si l'utilisateur possède des privilèges d'administrateur sur le site WordPress, car l'attaquant pourrait alors prendre le contrôle total du site. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans nécessiter d'authentification préalable, rendant un large éventail de sites WordPress potentiellement vulnérables.
Cette vulnérabilité a été rendue publique le 30 décembre 2025. Il n'y a pas d'indications d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature CSRF et de la disponibilité potentielle de preuves de concept. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
Websites using the WP-CalDav2ICS plugin, particularly those running older, unpatched versions (0.0.0–1.3.4), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wp-caldav2ics" /var/www/html/
wp plugin list | grep WP-CalDav2ICS• generic web:
curl -I https://example.com/wp-content/plugins/wp-caldav2ics/ | grep -i 'wp-caldav2ics'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin WP-CalDav2ICS vers une version corrigée dès que possible. En attendant la mise à jour, il est possible de limiter l'impact en appliquant des mesures de sécurité supplémentaires. Il est recommandé de désactiver temporairement le plugin si la mise à jour n'est pas immédiatement disponible. L'utilisation d'un plugin de sécurité WordPress capable de détecter et de bloquer les attaques CSRF peut également aider à atténuer le risque. Vérifiez après la mise à jour que le plugin est correctement mis à jour et qu'il n’y a pas de conflits avec d’autres plugins ou thèmes.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-59131 is a Cross-Site Request Forgery (CSRF) vulnerability in the WP-CalDav2ICS WordPress plugin, allowing for Stored XSS attacks.
You are affected if you are using WP-CalDav2ICS versions 0.0.0 through 1.3.4. Upgrade to a patched version as soon as it becomes available.
Upgrade the WP-CalDav2ICS plugin to the latest available version. Until then, restrict access and implement a Content Security Policy (CSP).
Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the fix promptly.
Check the WP-CalDav2ICS plugin page on WordPress.org or the developer's website for updates and advisories.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.