Plateforme
wordpress
Composant
my-auctions-allegro-free-edition
Corrigé dans
3.6.34
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WordPress My auctions allegro. Cette faille permet à un attaquant d'effectuer des actions en tant qu'utilisateur authentifié sans son consentement. Elle affecte les versions de 0.0.0 à 3.6.33 inclus. Une version corrigée, la 3.6.34, est désormais disponible.
La vulnérabilité CSRF dans My auctions allegro permet à un attaquant de manipuler les requêtes HTTP envoyées par un utilisateur authentifié. Un attaquant pourrait, par exemple, modifier des enchères, supprimer des produits ou même modifier les paramètres de configuration du plugin. L'impact est amplifié si l'attaquant peut compromettre un compte administrateur, lui donnant un contrôle total sur le site web. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans nécessiter d'authentification préalable sur le site cible, rendant l'attaque potentiellement à grande échelle.
Cette vulnérabilité a été publiée le 24 décembre 2025. Aucune preuve d'exploitation active n'est actuellement disponible. Il n'est pas listé sur le KEV de CISA. Un Proof of Concept (PoC) public pourrait être développé, augmentant le risque d'exploitation.
WordPress site owners using the My auctions allegro plugin, particularly those running older versions (0.0.0–3.6.33). Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may not be promptly updated.
• wordpress / composer / npm:
grep -r 'my-auctions-allegro-free-edition' /var/www/html/
wp plugin list | grep 'My auctions allegro'• generic web:
curl -I https://example.com/my-auctions-allegro/ | grep -i 'csrf-token'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin My auctions allegro vers la version 3.6.34 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le plugin. En attendant, des règles WAF (Web Application Firewall) peuvent être configurées pour bloquer les requêtes suspectes contenant des tokens CSRF invalides. Vérifiez après la mise à jour que le plugin fonctionne correctement et que les fonctionnalités essentielles sont intactes.
Mettre à jour vers la version 3.6.34, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68567 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin WordPress My auctions allegro, permettant à un attaquant d'effectuer des actions non autorisées.
Si vous utilisez My auctions allegro en version 0.0.0 à 3.6.33 inclus, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin My auctions allegro vers la version 3.6.34 ou supérieure pour corriger cette vulnérabilité.
À l'heure actuelle, aucune preuve d'exploitation active n'est disponible, mais le risque existe.
Consultez le site web du développeur de My auctions allegro ou le dépôt GitHub du plugin pour obtenir des informations officielles.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.