Plateforme
wordpress
Composant
custom-404-pro
Corrigé dans
3.12.1
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WordPress Custom 404 Pro. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, sans son consentement. Elle affecte les versions du plugin comprises entre 0.0.0 et 3.12.0. Une version corrigée, la 3.12.1, est désormais disponible.
L'exploitation réussie de cette vulnérabilité CSRF pourrait permettre à un attaquant de modifier les paramètres du plugin Custom 404 Pro, d'ajouter ou de supprimer des règles de redirection, ou même de compromettre d'autres fonctionnalités du site WordPress. Un attaquant pourrait, par exemple, modifier la page 404 personnalisée pour rediriger les utilisateurs vers un site malveillant, ou injecter du code JavaScript malveillant via des paramètres du plugin. Le risque est accru si le plugin est configuré avec des permissions d'administrateur, car l'attaquant pourrait potentiellement obtenir un contrôle total sur le site WordPress.
Cette vulnérabilité a été publiée le 22 décembre 2025. Aucune preuve d'exploitation active n'est actuellement disponible. La probabilité d'exploitation est considérée comme modérée en raison de la nature courante des attaques CSRF et de la popularité du plugin Custom 404 Pro. Il est recommandé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
WordPress websites utilizing the Custom 404 Pro plugin, particularly those running older versions (0.0.0–3.12.0), are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites with administrator accounts that are frequently used or have weak passwords are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'Custom 404 Pro' /var/www/html/wp-content/plugins/
wp plugin list | grep 'Custom 404 Pro'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=custom_404_pro_save_settings&setting_name=some_setting&setting_value=some_value | grep HTTP/1.1disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Custom 404 Pro vers la version 3.12.1 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement le plugin. En attendant, vous pouvez implémenter des mesures de protection CSRF supplémentaires, telles que l'utilisation de tokens CSRF dans les formulaires du plugin (si possible) ou la configuration d'un Web Application Firewall (WAF) pour bloquer les requêtes CSRF suspectes. Vérifiez après la mise à jour que les paramètres du plugin sont conformes à vos exigences de sécurité.
Mettre à jour vers la version 3.12.1, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62880 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin WordPress Custom 404 Pro, permettant à un attaquant d'effectuer des actions non autorisées.
Oui, si vous utilisez le plugin Custom 404 Pro dans une version comprise entre 0.0.0 et 3.12.0, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin Custom 404 Pro vers la version 3.12.1 ou supérieure. Si la mise à jour n'est pas possible, désactivez temporairement le plugin.
À l'heure actuelle, aucune preuve d'exploitation active n'est disponible, mais la probabilité d'exploitation est considérée comme modérée.
Consultez le site web du développeur du plugin Custom 404 Pro ou les forums de la communauté WordPress pour obtenir des informations officielles.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.