Plateforme
wordpress
Composant
wp-email-capture
Corrigé dans
3.12.6
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WP Email Capture. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié sans son consentement. Elle affecte les versions du plugin comprises entre 0.0.0 et 3.12.5. Une mise à jour vers la version 3.12.6 corrige ce problème.
La vulnérabilité CSRF dans WP Email Capture permet à un attaquant d'exploiter la confiance d'un utilisateur authentifié pour modifier des paramètres de configuration, créer de nouvelles captures d'e-mails, ou même supprimer des données existantes. Un attaquant pourrait, par exemple, créer une capture d'e-mails malveillante qui envoie des spams ou collecte des informations sensibles. L'impact est amplifié si l'attaquant peut compromettre un compte administrateur, lui donnant un contrôle total sur le site WordPress.
Cette vulnérabilité a été publiée le 24 décembre 2025. Il n'y a pas d'indications d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme modérée, compte tenu de la nature courante des attaques CSRF et de la popularité du plugin WP Email Capture.
Websites using the WP Email Capture plugin, particularly those with user accounts that have administrative privileges or access to sensitive data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r 'wp_email_capture_process_form' /var/www/html/wp-content/plugins/wp-email-capture/• wordpress / composer / npm:
wp plugin list --status=active | grep wp-email-capture• wordpress / composer / npm:
wp plugin update wp-email-capture --version=3.12.6disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour WP Email Capture vers la version 3.12.6 ou supérieure. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. L'utilisation d'un plugin de sécurité WordPress qui offre une protection CSRF peut aider à atténuer le risque. De plus, il est recommandé de désactiver temporairement les fonctionnalités sensibles du plugin si elles ne sont pas essentielles. Après la mise à jour, vérifiez les paramètres de configuration du plugin pour vous assurer qu'ils sont conformes aux meilleures pratiques de sécurité.
Mettre à jour vers la version 3.12.6, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68529 décrit une vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin WP Email Capture, permettant à un attaquant d'effectuer des actions non autorisées sur votre site WordPress.
Si vous utilisez WP Email Capture dans une version comprise entre 0.0.0 et 3.12.5, vous êtes potentiellement affecté par cette vulnérabilité.
La solution est de mettre à jour WP Email Capture vers la version 3.12.6 ou supérieure. Assurez-vous de sauvegarder votre site avant d'effectuer la mise à jour.
À l'heure actuelle, il n'y a pas d'indications d'exploitation active de cette vulnérabilité, mais la vigilance est recommandée.
Consultez le site web du développeur WP Email Capture ou le dépôt GitHub du plugin pour obtenir les informations les plus récentes et les détails de la correction.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.