Plateforme
wordpress
Composant
heateor-social-login
Corrigé dans
1.1.40
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Heateor Social Login. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, compromettant potentiellement la sécurité des données et des configurations. Elle affecte les versions du plugin Heateor Social Login comprises entre la version non spécifiée et la version 1.1.39 inclusivement. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant de modifier les paramètres de configuration du plugin Heateor Social Login, d'ajouter ou de supprimer des comptes d'utilisateurs, ou d'effectuer d'autres actions sensibles sans l'autorisation de l'utilisateur. L'attaquant peut exploiter cette faille en incitant l'utilisateur à cliquer sur un lien malveillant ou à visiter un site web compromis. Le risque est accru si les utilisateurs ont des privilèges d'administrateur sur le site WordPress, car l'attaquant pourrait alors prendre le contrôle total du site. Bien que cette vulnérabilité ne permette pas directement l'exécution de code arbitraire, elle peut servir de tremplin pour d'autres attaques.
Cette vulnérabilité a été publiée le 30 décembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est connu. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC public et d'exploitation confirmée.
WordPress websites utilizing the Heateor Social Login plugin, particularly those with a large user base or that handle sensitive user data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'heateor-social-login' /var/www/html/wp-content/plugins/
wp plugin list | grep heateor-social-login• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/heateor-social-login/ | grep -i 'heateor-social-login'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Heateor Social Login vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. L'implémentation de protections CSRF au niveau de l'application WordPress, telles que l'utilisation de tokens CSRF, peut aider à atténuer le risque. De plus, il est recommandé de sensibiliser les utilisateurs aux risques liés aux liens suspects et aux sites web non fiables. Vérifiez après la mise à jour que les paramètres de sécurité du plugin sont correctement configurés et que les comptes d'utilisateurs n'ont pas été compromis.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68998 décrit une vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin Heateor Social Login, permettant à un attaquant d'effectuer des actions non autorisées.
Oui, si vous utilisez Heateor Social Login en version 0–1.1.39, vous êtes affecté par cette vulnérabilité.
Mettez à jour Heateor Social Login vers la dernière version disponible. Si la mise à jour n'est pas possible, appliquez des mesures de mitigation temporaires.
À ce jour, il n'y a aucune indication d'exploitation active de cette vulnérabilité, mais la vigilance est recommandée.
Consultez le site web de Heateor ou leurs canaux de communication officiels pour obtenir des informations sur cette vulnérabilité et les correctifs disponibles.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.