Plateforme
wordpress
Composant
game-users-share-buttons
Corrigé dans
1.3.1
Le plugin Game Users Share Buttons pour WordPress présente une vulnérabilité d'accès arbitraire aux fichiers. Cette faille, due à une validation insuffisante du chemin d'accès aux fichiers dans la fonction ajaxDeleteTheme(), permet à des attaquants de niveau Abonné de supprimer des fichiers sensibles. Les versions affectées sont les 1.0.0 à 1.3.0 incluses. Une correction est disponible et son application est fortement recommandée.
Cette vulnérabilité permet à un attaquant de supprimer des fichiers arbitraires sur le serveur WordPress, potentiellement compromettant l'intégrité du site web. En manipulant le paramètre themeNameId dans la requête AJAX, un attaquant peut spécifier des chemins d'accès tels que ../../../../wp-config.php, ce qui lui permet de supprimer le fichier de configuration principal de WordPress. La suppression de wp-config.php peut entraîner une perte de données, une compromission de la base de données et une exécution de code à distance (RCE) si l'attaquant peut exploiter les informations révélées ou les configurations par défaut. La gravité élevée de cette vulnérabilité souligne le risque important qu'elle représente pour les sites WordPress utilisant ce plugin.
Cette vulnérabilité a été rendue publique le 28 juin 2025. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la simplicité de l'exploitation et la disponibilité d'un accès de niveau Abonné augmentent le risque. Il est probable que des preuves de concept (PoC) soient rapidement développées et diffusées. Il est conseillé de surveiller les sources d'informations sur les vulnérabilités et les forums de sécurité WordPress.
Websites using the Game Users Share Buttons plugin, particularly those running vulnerable versions (1.0.0–1.3.0), are at risk. Shared hosting environments where multiple WordPress sites share the same server are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "ajaxDeleteTheme" /var/www/html/wp-content/plugins/game-users-share-buttons/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'game-users-share-buttons'• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=ajaxDeleteTheme&themeNameId=../../../../wp-config.php | grep -i '403 forbidden'disclosure
Statut de l'Exploit
EPSS
1.21% (percentile 79%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour le plugin Game Users Share Buttons vers la dernière version corrigée, dès que celle-ci sera disponible. En attendant, des mesures d'atténuation peuvent être mises en place. Il est possible de restreindre les permissions d'écriture sur le répertoire du plugin, limitant ainsi l'impact potentiel d'une exploitation réussie. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les requêtes malveillantes ciblant la fonction ajaxDeleteTheme(). Surveillez attentivement les journaux d'accès et d'erreurs du serveur WordPress pour détecter toute activité suspecte.
Actualice el plugin Game Users Share Buttons a la última versión disponible, ya que las versiones posteriores a la 1.3.0 incluyen correcciones para esta vulnerabilidad. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-6755 is a vulnerability in the Game Users Share Buttons WordPress plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution. It affects versions 1.0.0–1.3.0 and has a CVSS score of 8.8 (HIGH).
You are affected if your WordPress site uses the Game Users Share Buttons plugin in versions 1.0.0 through 1.3.0. Check your plugin versions immediately to determine your exposure.
Upgrade the Game Users Share Buttons plugin to a patched version as soon as it's available. Until then, disable the plugin or implement a WAF rule to block malicious requests.
Active exploitation is not currently confirmed, but the vulnerability's severity and ease of exploitation suggest it could become a target. Monitor your systems for suspicious activity.
Refer to the plugin developer's website or WordPress.org plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.