Plateforme
wordpress
Composant
thesis-openhook
Corrigé dans
4.3.2
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin OpenHook pour WordPress, développé par Rick Beckman. Cette faille permet à un attaquant d'exécuter des actions non autorisées au nom d'un utilisateur authentifié sans son consentement. Elle affecte les versions du plugin allant de 0.0.0 à 4.3.1. Une mise à jour vers une version corrigée est recommandée pour atténuer ce risque.
La vulnérabilité CSRF dans OpenHook permet à un attaquant d'exploiter la confiance d'un utilisateur authentifié pour effectuer des actions malveillantes. Par exemple, un attaquant pourrait modifier les paramètres du plugin, supprimer des données ou même compromettre l'ensemble du site WordPress. L'attaquant peut inciter l'utilisateur à cliquer sur un lien malveillant ou à visiter une page web spécialement conçue pour exploiter cette faille. Le risque est d'autant plus élevé si l'utilisateur possède des privilèges d'administrateur sur le site WordPress.
La vulnérabilité CSRF dans OpenHook n'est pas encore répertoriée sur le KEV de CISA. Il n'existe pas de Proof of Concept (PoC) public connu à ce jour. La publication de la vulnérabilité a eu lieu le 31 décembre 2025. Il est important de surveiller l'évolution de la situation et de rester informé des éventuelles campagnes d'exploitation.
Websites using the OpenHook WordPress plugin, particularly those with users who have administrative or editor roles, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may also be vulnerable if updates are not applied promptly.
• wordpress / composer / npm:
grep -r 'openhook_save_options' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=openhook_save_options | grep -i 'referer:'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin OpenHook vers la dernière version disponible, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. L'utilisation d'un Web Application Firewall (WAF) peut aider à bloquer les requêtes CSRF malveillantes. De plus, il est recommandé de désactiver les fonctionnalités non essentielles du plugin OpenHook pour réduire la surface d'attaque. Vérifiez après la mise à jour que le plugin fonctionne correctement et que les paramètres de sécurité sont configurés de manière optimale.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62120 décrit une vulnérabilité CSRF dans le plugin OpenHook pour WordPress, permettant à un attaquant d'exécuter des actions non autorisées au nom d'un utilisateur.
Vous êtes affecté si vous utilisez le plugin OpenHook pour WordPress dans une version comprise entre 0.0.0 et 4.3.1.
La solution recommandée est de mettre à jour le plugin OpenHook vers la dernière version disponible.
À ce jour, il n'existe pas de preuves d'exploitation active de CVE-2025-62120, mais il est important de rester vigilant.
Consultez le site web du développeur OpenHook ou le dépôt GitHub du plugin pour obtenir des informations et des mises à jour concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.