Plateforme
wordpress
Composant
easyindex
Corrigé dans
1.1.1705
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin EasyIndex pour WordPress. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, potentiellement compromettant des données ou modifiant des configurations. Elle affecte les versions de EasyIndex comprises entre 0.0.0 et 1.1.1704 inclus. Une mise à jour vers une version corrigée est recommandée.
La vulnérabilité CSRF dans EasyIndex permet à un attaquant de créer des requêtes web malveillantes qui, lorsqu'elles sont exécutées par un utilisateur authentifié, peuvent modifier des données, supprimer des éléments, ou effectuer d'autres actions sensibles. Par exemple, un attaquant pourrait modifier les paramètres de configuration du plugin, ajouter de nouveaux utilisateurs avec des privilèges élevés, ou supprimer des données importantes. L'impact est amplifié si l'utilisateur authentifié possède des privilèges d'administrateur, car l'attaquant pourrait alors prendre le contrôle complet du site WordPress. Bien qu'il n'y ait pas de rapports d'exploitation active connus, la nature de la vulnérabilité CSRF la rend facilement exploitable.
Cette vulnérabilité a été publiée le 31 décembre 2025. Il n'y a pas d'indications d'exploitation active à ce jour. Aucun PoC public n'est actuellement disponible, mais la nature de la vulnérabilité CSRF signifie qu'il est probable qu'un tel PoC apparaisse à l'avenir. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
WordPress websites utilizing the EasyIndex plugin, particularly those running vulnerable versions (0.0.0–1.1.1704), are at risk. Shared hosting environments where plugin updates are not managed by the user are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'easyindex_settings' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep easyindex• wordpress / composer / npm:
wp plugin update easyindexdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin EasyIndex vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures de mitigation temporaires peuvent être mises en place. L'utilisation de tokens CSRF dans les formulaires et les requêtes critiques peut aider à prévenir les attaques. De plus, l'implémentation de politiques de sécurité de contenu (CSP) peut limiter les sources de requêtes autorisées, réduisant ainsi la surface d'attaque. Vérifiez après la mise à jour que les formulaires critiques utilisent des tokens CSRF valides et que les politiques CSP sont correctement configurées.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62117 décrit une vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin EasyIndex pour WordPress, permettant à un attaquant d'effectuer des actions non autorisées.
Oui, si vous utilisez EasyIndex et que votre plugin est inférieur ou égal à la version 1.1.1704, vous êtes potentiellement affecté. La mise à jour est essentielle.
La solution recommandée est de mettre à jour le plugin EasyIndex vers la dernière version disponible. En attendant, appliquez des mesures de mitigation comme l'utilisation de tokens CSRF.
À l'heure actuelle, il n'y a pas de rapports d'exploitation active connus, mais la nature de la vulnérabilité CSRF la rend exploitable.
Consultez le site web du développeur EasyIndex ou le dépôt WordPress pour obtenir les informations et les mises à jour officielles concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.