Plateforme
wordpress
Composant
restaurant-reservations
Corrigé dans
2.7.9
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Five Star Restaurant Reservations. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, potentiellement modifiant des réservations ou d'autres données sensibles. Elle affecte les versions du plugin comprises entre 0.0.0 et 2.7.8. Une version corrigée, 2.7.9, est désormais disponible.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant de modifier les réservations de restaurant, de supprimer des données, ou d'effectuer d'autres actions administratives sans l'autorisation de l'utilisateur. L'attaquant doit cependant inciter l'utilisateur à cliquer sur un lien malveillant ou à visiter une page web compromise. Le risque est accru si des utilisateurs disposent de privilèges administratifs et sont régulièrement connectés au site. Une attaque CSRF réussie pourrait entraîner des pertes financières, une atteinte à la réputation et une perturbation du service.
Cette vulnérabilité est publique depuis le 24 décembre 2025. Il n'y a pas d'indication d'exploitation active à ce jour. Aucun PoC public n'a été rapporté, mais la nature de la vulnérabilité CSRF signifie qu'elle peut être exploitée relativement facilement avec des outils standard. La probabilité d'exploitation est considérée comme modérée.
Websites utilizing the Five Star Restaurant Reservations plugin, particularly those with user accounts and reservation functionality, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'restaurant-reservations/includes/class-reservation.php' . |
grep -i 'add_reservation' # Look for vulnerable code patterns• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=restaurant_reservations_add_reservation&reservation_date=2024-12-31&reservation_time=19%3A00&number_of_guests=2 # Check for lack of CSRF token in requestdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin Five Star Restaurant Reservations vers la version 2.7.9 ou supérieure. En attendant, des mesures d'atténuation peuvent être mises en place, telles que l'implémentation de tokens CSRF sur les formulaires sensibles. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes CSRF malveillantes. Vérifiez après la mise à jour que les formulaires critiques nécessitent une authentification supplémentaire et que les tokens CSRF sont correctement générés et validés.
Mettre à jour vers la version 2.7.9, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68601 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin Five Star Restaurant Reservations, permettant à un attaquant d'effectuer des actions non autorisées sur votre site WordPress.
Oui, si vous utilisez Five Star Restaurant Reservations en version 0.0.0 à 2.7.8, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin Five Star Restaurant Reservations vers la version 2.7.9 ou supérieure pour corriger cette vulnérabilité.
Bien qu'il n'y ait pas de confirmation d'exploitation active à ce jour, la nature de la vulnérabilité CSRF la rend potentiellement exploitable. Il est recommandé de mettre à jour rapidement.
Consultez le site web du développeur ou le dépôt GitHub du plugin pour obtenir les informations officielles concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.