Plateforme
wordpress
Composant
brookside
Corrigé dans
1.4.1
Une vulnérabilité de Cross-Site Scripting (XSS) Refléché a été découverte dans Brookside, un plugin WordPress développé par ArtstudioWorks. Cette faille permet à un attaquant d'injecter des scripts malveillants dans les pages web, potentiellement compromettant les sessions des utilisateurs et volant des informations sensibles. Elle affecte les versions de Brookside comprises entre n/a et 1.4. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript arbitraire dans le navigateur d'un utilisateur visitant une page affectée. Cela peut être utilisé pour voler des cookies de session, rediriger l'utilisateur vers un site web malveillant, ou modifier le contenu de la page web. Dans un contexte de site web WordPress, cela pourrait permettre de compromettre l'ensemble du site, en particulier si l'attaquant peut exploiter cette faille pour obtenir des privilèges d'administrateur. Le risque est accru si le site web est utilisé pour des transactions sensibles ou contient des informations personnelles.
La vulnérabilité CVE-2025-67618 a été rendue publique le 2026-03-19. Il n'y a pas d'indications d'une exploitation active à ce jour, ni d'ajout au catalogue KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, augmentant le risque d'exploitation. Il est donc crucial de mettre en œuvre les mesures de mitigation dès que possible.
Websites utilizing ArtstudioWorks Brookside, particularly those with user input fields that are not properly sanitized, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/brookside/wp-content/plugins/• generic web:
curl -I https://your-brookside-site.com/vulnerable-page?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list --status=inactive• wordpress / composer / npm:
wp plugin search brookside• wordpress / composer / npm:
wp plugin update --alldisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Brookside vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le plugin Brookside. En attendant la mise à jour, des règles de pare-feu applicatif (WAF) peuvent être configurées pour bloquer les requêtes contenant des charges utiles XSS potentielles. Il est également conseillé de surveiller les logs du serveur web pour détecter des tentatives d'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez l'intégrité du plugin et assurez-vous qu'il fonctionne correctement avec le reste de votre installation WordPress.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-67618 is a Reflected XSS vulnerability in ArtstudioWorks Brookside, allowing attackers to inject malicious scripts into web pages. This impacts versions n/a–1.4 and can lead to data theft and account compromise.
If you are using ArtstudioWorks Brookside versions between n/a and 1.4, you are potentially affected. Assess your input validation and output encoding practices to determine your level of risk.
Upgrade to a patched version of Brookside as soon as it becomes available. Until then, implement input validation and output encoding and consider using a WAF.
While no active exploitation has been confirmed, the vulnerability's nature suggests it is likely to be targeted. Monitor your systems and implement mitigations proactively.
Refer to the ArtstudioWorks website and security advisories for updates and official guidance regarding CVE-2025-67618.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.