Plateforme
wordpress
Composant
mergado-marketing-pack
Corrigé dans
4.2.2
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans MERGADO Mergado Pack. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié. Elle affecte les versions de Mergado Pack comprises entre 0.0.0 et 4.2.1 incluses. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant de modifier des paramètres de configuration, de créer ou de supprimer des utilisateurs, ou d'effectuer d'autres actions sensibles au sein de l'environnement Mergado Pack. L'attaquant n'a besoin que d'inciter l'utilisateur à cliquer sur un lien malveillant ou à visiter une page web compromise. Le risque est accru si l'application est largement utilisée et que les utilisateurs ont des privilèges d'administration. Bien que cette vulnérabilité ne permette pas une exécution directe de code, elle peut être combinée avec d'autres failles pour obtenir un contrôle plus important sur le système.
Cette vulnérabilité a été publiée le 31 décembre 2025. Aucune preuve d'exploitation active n'est actuellement disponible. La probabilité d'exploitation est considérée comme modérée en raison de la nature relativement simple de l'exploitation CSRF et de la large base d'utilisateurs potentiels de Mergado Pack. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
WordPress sites utilizing the Mergado Pack plugin, particularly those running versions 0.0.0 through 4.2.1, are at risk. Sites with limited security controls or those that allow user-generated content are especially vulnerable, as attackers can more easily craft malicious CSRF requests.
• wordpress / composer / npm:
grep -r 'mergado-marketing-pack' /var/www/html/wp-content/plugins/
wp plugin list | grep mergado-marketing-pack• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/mergado-marketing-pack/ | grep -i 'mergado-marketing-pack'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour Mergado Pack vers une version corrigée dès que possible. En attendant la mise à jour, des mesures de protection contre les CSRF peuvent être implémentées. Cela inclut l'utilisation de tokens CSRF dans les formulaires critiques, la validation des headers Origin et Referer, et l'implémentation de politiques de sécurité de contenu (CSP). Il est également recommandé de sensibiliser les utilisateurs aux risques liés aux CSRF et de les encourager à vérifier l'URL avant de soumettre des formulaires. Une analyse des logs peut aider à identifier les tentatives d'exploitation.
Aucun correctif connu n'est disponible. Veuillez examiner en détail les informations relatives à la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62089 décrit une vulnérabilité de Cross-Site Request Forgery (CSRF) dans MERGADO Mergado Pack, permettant à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur.
Vous êtes affecté si vous utilisez MERGADO Mergado Pack dans les versions comprises entre 0.0.0 et 4.2.1 incluses. Vérifiez votre version et mettez à jour si nécessaire.
La solution recommandée est de mettre à jour MERGADO Mergado Pack vers une version corrigée. En attendant, implémentez des mesures de protection CSRF comme des tokens CSRF.
À l'heure actuelle, aucune preuve d'exploitation active n'est disponible, mais la probabilité d'exploitation est considérée comme modérée.
Consultez le site web de MERGADO ou leur page de sécurité pour l'avis officiel concernant CVE-2025-62089.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.