Plateforme
wordpress
Composant
post-snippets
Corrigé dans
4.0.12
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Post Snippets pour WordPress. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, potentiellement compromettant l'intégrité des données et la sécurité du site. Elle affecte les versions du plugin allant de 0.0.0 à 4.0.11. Une version corrigée, 4.0.12, est désormais disponible.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant de modifier des paramètres de configuration, de publier des articles, ou d'effectuer d'autres actions sur le site WordPress, le tout en utilisant les privilèges de l'utilisateur connecté. L'impact est amplifié si l'attaquant cible un utilisateur avec des droits d'administrateur, ce qui pourrait conduire à une prise de contrôle complète du site. Bien que le CVSS score soit modéré, l'exploitation est relativement simple et peut avoir des conséquences significatives pour la confidentialité et la disponibilité du site.
La vulnérabilité a été rendue publique le 31 décembre 2025. Aucune preuve d'exploitation active n'est actuellement disponible, mais la simplicité de l'exploitation CSRF rend cette vulnérabilité potentiellement attractive pour les attaquants. Il est conseillé de surveiller les forums de sécurité et les rapports de vulnérabilités pour détecter d'éventuelles attaques.
Websites using the Post Snippets plugin, particularly those running older versions (0.0.0–4.0.11), are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable if they haven't been updated to the latest version.
• wordpress / composer / npm:
grep -r 'post-snippets/includes/class-post-snippets.php' . |
grep -i 'wp_send_json'• generic web:
curl -I https://example.com/wp-content/plugins/post-snippets/includes/class-post-snippets.php | grep -i 'server'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour le plugin Post Snippets vers la version 4.0.12 ou supérieure. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires, telles que l'implémentation de tokens CSRF dans les formulaires du plugin (si possible) ou l'utilisation d'un Web Application Firewall (WAF) configuré pour bloquer les requêtes CSRF. Vérifiez également les permissions des utilisateurs WordPress et limitez l'accès aux fonctionnalités sensibles. Après la mise à jour, confirmez l'absence de vulnérabilité en testant les formulaires du plugin avec un outil de test CSRF.
Mettre à jour vers la version 4.0.12, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-63040 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin Post Snippets pour WordPress, permettant à un attaquant d'effectuer des actions non autorisées.
Oui, si vous utilisez Post Snippets WordPress dans les versions de 0.0.0 à 4.0.11, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin Post Snippets vers la version 4.0.12 ou supérieure pour corriger cette vulnérabilité.
Bien qu'aucune exploitation active n'ait été confirmée, la simplicité de l'exploitation CSRF rend cette vulnérabilité potentiellement attractive pour les attaquants.
Consultez le site web du développeur Post Snippets ou le dépôt GitHub du plugin pour obtenir des informations officielles sur cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.