Plateforme
wordpress
Composant
traderunner
Corrigé dans
3.14.1
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans Trade Runner. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, potentiellement compromettant l'intégrité des données et la sécurité du système. Les versions de Trade Runner affectées sont celles comprises entre 0.0.0 et, y compris, 3.14. Une correction est disponible.
La vulnérabilité CSRF dans Trade Runner permet à un attaquant d'exploiter la confiance d'un utilisateur authentifié pour exécuter des actions malveillantes. Par exemple, un attaquant pourrait créer un lien malveillant ou intégrer du code JavaScript dans un site web compromis, incitant l'utilisateur à effectuer des actions involontaires, telles que la modification de paramètres de configuration, la suppression de données ou l'exécution de transactions non autorisées. L'impact potentiel est significatif, car un attaquant peut prendre le contrôle de comptes utilisateurs et compromettre l'ensemble du système Trade Runner. La surface d'attaque est amplifiée si Trade Runner est intégré à d'autres systèmes ou utilise des API exposées.
La vulnérabilité CSRF dans Trade Runner n'est pas encore répertoriée sur KEV ni sur EPSS. La probabilité d'exploitation est considérée comme modérée en raison de la nature de la vulnérabilité CSRF, qui nécessite une interaction de l'utilisateur pour être exploitée avec succès. Aucune preuve d'exploitation active n'est actuellement disponible. Consultez la publication CVE pour plus d'informations : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-67625.
Organizations and individuals utilizing Trade Runner versions 0.0.0 through 3.14 are at risk. This includes those deploying Trade Runner on shared WordPress hosting environments, as they may be more vulnerable to CSRF attacks due to limited control over server configurations. Users who frequently access Trade Runner through untrusted links or websites are also at increased risk.
• wordpress / composer / npm:
grep -r "/wp-admin/admin-ajax.php" ./• generic web:
curl -I https://your-trade-runner-site.com/wp-admin/admin-ajax.php | grep -i 'content-security-policy'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Trade Runner vers une version corrigée dès que possible. En attendant la mise à jour, des mesures de mitigation peuvent être appliquées, telles que l'implémentation de jetons CSRF pour valider les requêtes et empêcher les actions non autorisées. Il est également recommandé de renforcer les politiques de sécurité du site web, en exigeant une authentification à deux facteurs et en sensibilisant les utilisateurs aux risques liés aux liens suspects. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les attaques CSRF en analysant et en filtrant le trafic HTTP. Vérifiez après la mise à jour que les jetons CSRF sont correctement générés et validés pour toutes les actions sensibles.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-67625 décrit une vulnérabilité Cross-Site Request Forgery (CSRF) dans Trade Runner, permettant à un attaquant d'exécuter des actions non autorisées au nom d'un utilisateur authentifié.
Si vous utilisez Trade Runner dans une version comprise entre 0.0.0 et 3.14, vous êtes potentiellement affecté par cette vulnérabilité.
La solution recommandée est de mettre à jour Trade Runner vers une version corrigée. En attendant, appliquez des mesures de mitigation telles que l'implémentation de jetons CSRF.
À l'heure actuelle, aucune preuve d'exploitation active de CVE-2025-67625 n'est disponible, mais la vulnérabilité reste un risque potentiel.
Consultez la publication CVE sur le site web du MITRE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-67625
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.