Plateforme
wordpress
Composant
robotstxt-rewrite
Corrigé dans
1.6.2
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Robots.txt rewrite. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, potentiellement modifiant la configuration du fichier robots.txt. Elle affecte les versions du plugin comprises entre 0.0.0 et 1.6.1, et une correction a été publiée dans la version 1.6.2.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant de modifier le fichier robots.txt, bloquant ainsi l'accès des robots d'indexation à des parties sensibles du site web. Cela peut entraîner une perte de trafic organique, une dégradation du référencement et potentiellement masquer l'existence de pages critiques. Un attaquant pourrait également utiliser cette modification pour rediriger les utilisateurs vers des sites malveillants, compromettant ainsi la sécurité et la réputation du site. La simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante.
Cette vulnérabilité est publique depuis le 31 décembre 2025. Il n'y a pas d'indication d'exploitation active à ce jour. Aucun PoC public n'a été identifié, mais la nature CSRF rend l'exploitation relativement simple. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité d'une interaction utilisateur et de la disponibilité d'une correction.
Websites using the Robots.txt rewrite plugin, particularly those relying on search engine optimization (SEO) and those with sensitive data that could be exposed through misconfigured robots.txt directives, are at risk. Shared WordPress hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r 'robots.txt' /var/www/html/wp-content/plugins/robots-txt-rewrite/
wp plugin list | grep robots-txt-rewrite• generic web:
curl -I https://example.com/robots.txt | grep -i 'allow:'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Robots.txt rewrite vers la version 1.6.2 ou supérieure. En attendant la mise à jour, il est possible d'ajouter une vérification CSRF côté serveur pour les requêtes modifiant le fichier robots.txt. L'utilisation d'un Web Application Firewall (WAF) configuré pour bloquer les requêtes CSRF peut également offrir une protection supplémentaire. Vérifiez après la mise à jour que le fichier robots.txt a été correctement mis à jour et qu'il ne contient pas de directives suspectes.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62148 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin Robots.txt rewrite, permettant à un attaquant d'effectuer des actions non autorisées sur votre site WordPress.
Oui, si vous utilisez le plugin Robots.txt rewrite dans les versions 0.0.0 à 1.6.1, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin Robots.txt rewrite vers la version 1.6.2 ou supérieure. En attendant, ajoutez une vérification CSRF côté serveur.
À ce jour, il n'y a pas d'indication d'exploitation active, mais la nature CSRF rend l'exploitation possible.
Consultez le site web du développeur du plugin Robots.txt rewrite ou le dépôt GitHub pour obtenir les informations les plus récentes sur cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.