Plateforme
wordpress
Composant
evergreen-post-tweeter
Corrigé dans
1.8.10
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans Evergreen Post Tweeter, permettant une attaque de type Cross-Site Scripting (XSS) stockée. Cette faille permet à un attaquant d'injecter et d'exécuter du code JavaScript malveillant dans le navigateur d'autres utilisateurs. Les versions affectées sont celles comprises entre la version initiale et la version 1.8.9 inclusivement. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter des scripts malveillants dans les pages web consultées par les utilisateurs d'Evergreen Post Tweeter. Ces scripts peuvent être utilisés pour voler des informations sensibles, telles que des cookies de session, des jetons d'authentification ou des données personnelles. L'attaquant peut également modifier le contenu des pages web, rediriger les utilisateurs vers des sites malveillants ou même prendre le contrôle de leur compte. Le risque est accru si le site web est utilisé pour des transactions sensibles ou contient des informations confidentielles.
Cette vulnérabilité a été rendue publique le 24 décembre 2025. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature de la vulnérabilité CSRF et de la disponibilité potentielle de scripts d'exploitation. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Websites using the Evergreen Post Tweeter plugin, particularly those with user accounts or sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "evergreen-post-tweeter" /var/www/html/wp-content/plugins/
wp plugin list | grep evergreen-post-tweeter• generic web:
curl -I https://example.com/ | grep -i 'x-frame-options'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour Evergreen Post Tweeter vers une version corrigée dès que possible. En attendant, des mesures d'atténuation peuvent être mises en place. Il est recommandé d'activer la validation des entrées utilisateur pour empêcher l'injection de code malveillant. L'utilisation d'en-têtes HTTP Content-Security-Policy (CSP) peut également aider à réduire le risque d'exécution de scripts non autorisés. De plus, la mise en œuvre de mesures de protection CSRF, telles que l'utilisation de jetons CSRF, peut empêcher les attaques de type CSRF.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-67622 is a Cross-Site Scripting (XSS) vulnerability in the Evergreen Post Tweeter WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using Evergreen Post Tweeter versions 0 through 1.8.9. Upgrade as soon as a patch is available.
Upgrade to the latest version of the Evergreen Post Tweeter plugin once a patch is released by the vendor. Until then, consider temporary workarounds like input validation.
Active exploitation is not yet confirmed, but the public disclosure increases the risk. Monitor your website for suspicious activity.
Check the Evergreen Post Tweeter plugin's official website or WordPress plugin repository for updates and security advisories.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.