Plateforme
wordpress
Composant
ar-for-wordpress
Corrigé dans
8.34.1
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin AR For WordPress. Cette faille permet à un attaquant d'exploiter le plugin pour télécharger une Web Shell sur le serveur web, compromettant potentiellement la sécurité de l'ensemble du site WordPress. Les versions affectées sont celles comprises entre 0.0.0 et 8.34 inclus. La correction est disponible dans la version 7.98.1.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant d'effectuer des actions au nom d'un utilisateur authentifié sur le site WordPress, sans son consentement. Dans ce cas précis, l'attaquant peut télécharger une Web Shell, qui est un script malveillant permettant de prendre le contrôle du serveur web. Cela peut conduire à la compromission complète du site, à la vol de données sensibles, à l'injection de code malveillant et à l'utilisation du serveur pour lancer d'autres attaques. Le risque est significativement élevé en raison de la possibilité d'exécution de code à distance et de la criticité des données potentiellement accessibles sur un serveur web.
Cette vulnérabilité a été publiée le 26 septembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques pourraient émerger, augmentant le risque d'exploitation. La sévérité critique du CVSS indique un risque élevé, nécessitant une attention immédiate.
Websites utilizing AR For WordPress, particularly those with limited security controls or shared hosting environments, are at significant risk. Sites with older, unpatched versions of the plugin are especially vulnerable. Administrators who haven't implemented robust CSRF protection measures are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep 'AR For WordPress'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep 'AR For WordPress'• wordpress / composer / npm:
wp plugin path ar-for-wordpressdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour AR For WordPress vers la version 7.98.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'impact en désactivant temporairement le plugin ou en restreignant les permissions des utilisateurs ayant accès à la fonctionnalité de téléchargement. L'implémentation de mesures de sécurité supplémentaires, telles que la validation des requêtes et l'utilisation de tokens CSRF, peut également aider à atténuer le risque. Après la mise à jour, vérifiez que le plugin fonctionne correctement et qu'il n'y a pas de conflits avec d'autres plugins ou thèmes.
Mettez à jour le plugin AR For WordPress à la dernière version disponible pour atténuer la vulnérabilité Cross-Site Request Forgery (CSRF). Vérifiez les mises à jour dans le dépôt WordPress ou sur le site web du développeur. Implémentez des mesures de sécurité supplémentaires, telles que la validation des entrées et la protection CSRF, pour renforcer la sécurité de votre site web.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-60156 is a critical Cross-Site Request Forgery (CSRF) vulnerability in AR For WordPress allowing attackers to upload web shells, potentially leading to server compromise.
If you are using AR For WordPress versions 0.0.0 through 8.34, you are affected by this vulnerability. Upgrade immediately.
Upgrade AR For WordPress to version 7.98.1 or later to resolve this vulnerability. Consider implementing additional security measures like CSP if immediate upgrade isn't possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's severity and ease of exploitation make it a likely target.
Refer to the official AR For WordPress website or plugin repository for the latest security advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.