Plateforme
wordpress
Composant
easy-property-listings-xml-csv-import
Corrigé dans
2.2.2
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Import into Easy Property Listings. Cette faille permet à un attaquant d'effectuer des actions en tant qu'utilisateur authentifié sans son consentement. Elle affecte les versions du plugin comprises entre 0.0.0 et 2.2.1. Une mise à jour vers la version 2.2.2 corrige cette vulnérabilité.
La vulnérabilité CSRF permet à un attaquant de créer une requête malveillante qui, si exécutée par un utilisateur authentifié, peut modifier des données, supprimer des éléments ou effectuer d'autres actions sensibles au sein de l'application Easy Property Listings. L'attaquant peut exploiter cette faille en incitant l'utilisateur à cliquer sur un lien malveillant ou à visiter une page web compromise. Le risque est accru si l'application est largement utilisée et que les utilisateurs ont des privilèges d'administration.
Cette vulnérabilité a été publiée le 30 décembre 2025. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme modérée en raison de la nature de la vulnérabilité CSRF et de la nécessité d'inciter l'utilisateur à interagir avec une requête malveillante.
WordPress websites utilizing the Import into Easy Property Listings plugin, particularly those with user accounts that have administrative privileges or the ability to manage property listings, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is vulnerable and an attacker can leverage cross-site scripting to target users on other sites.
• wordpress / composer / npm:
grep -r 'easy-property-listings-xml-csv-import' /var/www/html/
wp plugin list | grep 'easy-property-listings-xml-csv-import'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=easy_property_listings_import_processdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour le plugin Import into Easy Property Listings vers la version 2.2.2 ou supérieure. En attendant, des mesures d'atténuation peuvent être mises en place, telles que l'implémentation de tokens CSRF dans les formulaires sensibles. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les requêtes CSRF malveillantes. Vérifiez après la mise à jour que les formulaires critiques utilisent des tokens CSRF valides.
Mettre à jour vers la version 2.2.2, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62112 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin Import into Easy Property Listings, permettant à un attaquant d'effectuer des actions non autorisées.
Oui, si vous utilisez Import into Easy Property Listings dans les versions 0.0.0 à 2.2.1, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin Import into Easy Property Listings vers la version 2.2.2 ou supérieure pour corriger cette vulnérabilité.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de cette vulnérabilité, mais la probabilité reste modérée.
Consultez le site web du développeur du plugin ou le dépôt WordPress pour obtenir l'avis officiel concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.