Plateforme
wordpress
Composant
wp-seo-search
Corrigé dans
1.1.1
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WP SEO Search. Cette faille permet à un attaquant d'effectuer des actions en tant qu'utilisateur authentifié sans son consentement. Elle affecte les versions du plugin comprises entre 0.0.0 et 1.1. La version 1.2 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité CSRF pourrait permettre à un attaquant de modifier les paramètres de configuration du plugin WP SEO Search, d'ajouter ou de supprimer des contenus, ou d'effectuer d'autres actions administratives, le tout en se faisant passer pour un utilisateur légitime. L'impact est amplifié si l'attaquant peut compromettre un compte administrateur, lui donnant un contrôle total sur le site web. Bien que le plugin lui-même ne stocke pas de données sensibles, la modification de ses paramètres peut affecter le SEO du site et potentiellement rediriger les visiteurs vers des sites malveillants.
Cette vulnérabilité a été publiée le 22 janvier 2026. Il n'y a pas d'indication d'exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est connu. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Websites using the WP SEO Search plugin, particularly those with administrator accounts that are frequently targeted or have weak passwords, are at risk. Shared WordPress hosting environments where multiple sites share the same server resources are also potentially more vulnerable.
• wordpress / composer / npm:
wp plugin list | grep wp-seo-search• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status wp-seo-search• generic web: Check for unusual activity in WordPress admin logs, specifically POST requests to plugin endpoints.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour le plugin WP SEO Search vers la version 1.2 ou ultérieure. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires, telles que l'ajout de protections CSRF au niveau du code du plugin (si possible) ou l'utilisation de Web Application Firewalls (WAF) capables de détecter et de bloquer les requêtes CSRF. Il est également recommandé de sensibiliser les utilisateurs aux risques liés aux clics sur des liens suspects provenant de sources non fiables.
Mettre à jour vers la version 1.2, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-67626 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin WP SEO Search, permettant à un attaquant d'effectuer des actions non autorisées sur votre site WordPress.
Oui, si vous utilisez WP SEO Search dans les versions 0.0.0 à 1.1, vous êtes affecté(e) par cette vulnérabilité. Mettez à jour immédiatement vers la version 1.2.
La solution est de mettre à jour le plugin WP SEO Search vers la version 1.2 ou ultérieure. En attendant, des mesures de protection temporaires peuvent être mises en place.
À ce jour, il n'y a aucune indication d'exploitation active de cette vulnérabilité, mais il est important de la corriger rapidement pour éviter tout risque futur.
Consultez le site web du développeur WP SEO Search ou le dépôt GitHub du plugin pour obtenir les informations officielles et les notes de version concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.