Plateforme
wordpress
Composant
gsheetconnector-wpforms
Corrigé dans
4.0.2
Une vulnérabilité d'injection de code (RCE) a été découverte dans le plugin WPForms Google Sheet Connector, développé par WesternDeal. Cette faille permet à un attaquant d'injecter et d'exécuter du code arbitraire sur un serveur WordPress vulnérable. Elle affecte les versions du plugin comprises entre n/a et 4.0.1 incluses. Une version corrigée, 4.0.2, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de prendre le contrôle total du site WordPress. L'attaquant peut exécuter des commandes système, modifier des fichiers, installer des portes dérobées et compromettre les données sensibles stockées sur le serveur. Étant donné le score CVSS de 9.9 (CRITICAL), le risque est extrêmement élevé. L'impact potentiel est similaire à celui d'une injection SQL ou d'une exécution de code à distance sur un serveur web, permettant un accès non autorisé et une manipulation des données.
Cette vulnérabilité a été publiée le 2026-02-20. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur le KEV de CISA. Des preuves de concept (PoC) pourraient être développées et publiées, augmentant le risque d'exploitation. Surveillez les forums de sécurité et les sites de partage de code pour de nouvelles informations.
Websites utilizing the WPForms Google Sheet Connector plugin, particularly those handling sensitive user data or operating in high-risk environments, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server resources are also particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'gsheetconnector-wpforms' /var/www/html/
wp plugin list | grep gsheetconnector-wpforms• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/gsheetconnector-wpforms/ | grep -i 'Content-Type: application/octet-stream'disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour immédiatement le plugin WPForms Google Sheet Connector vers la version 4.0.2 ou supérieure. En attendant la mise à jour, il est possible de désactiver temporairement le plugin pour réduire la surface d'attaque. Si la mise à jour cause des problèmes de compatibilité, envisagez de revenir à une version précédente stable du plugin (si disponible) ou de contacter le développeur pour obtenir de l'aide. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des requêtes POST vers les endpoints du plugin est recommandée.
Mettre à jour vers la version 4.0.2, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-67979 is a critical Remote Code Execution vulnerability in the WPForms Google Sheet Connector plugin, allowing attackers to execute arbitrary code on your WordPress site.
You are affected if you are using WPForms Google Sheet Connector versions 0.0 through 4.0.1. Check your plugin version and upgrade immediately.
Upgrade the WPForms Google Sheet Connector plugin to version 4.0.2 or later. If immediate upgrade is not possible, disable the plugin temporarily.
While no widespread exploitation has been confirmed, the vulnerability's ease of exploitation suggests it is likely to be targeted soon.
Refer to the official WPForms website and security advisory page for the latest information and updates regarding CVE-2025-67979.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.