Plateforme
wordpress
Composant
ays-popup-box
Corrigé dans
6.0.8
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Ays Pro Popup box. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié. Elle affecte les versions du plugin comprises entre 0.0.0 et 6.0.7. Une mise à jour vers la version 6.0.8 corrige ce problème.
La vulnérabilité CSRF dans Ays Pro Popup box permet à un attaquant de créer une requête malveillante qui, si exécutée par un utilisateur connecté, pourrait modifier les paramètres du plugin, ajouter ou supprimer des popups, ou même compromettre d'autres données associées à la configuration du plugin. L'attaquant n'a besoin que d'inciter l'utilisateur à cliquer sur un lien ou à visiter une page web malveillante. Le risque est accru si les utilisateurs ont des privilèges d'administration sur le site WordPress, car l'attaquant pourrait potentiellement prendre le contrôle du site.
Cette vulnérabilité a été publiée le 30 décembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est connu. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
WordPress websites using the Ays Pro Popup box plugin, particularly those running versions 0.0.0 through 6.0.7, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may not be immediately updated when a vulnerability is disclosed.
• wordpress / composer / npm:
grep -r 'ays-popup-box/ays-popup-box.php' /var/www/html/
wp plugin list | grep 'Ays Pro Popup Box'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/ays-popup-box/ays-popup-box.php | grep -i 'ays-popup-box'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Ays Pro Popup box vers la version 6.0.8 ou supérieure. En attendant la mise à jour, il est possible de renforcer la sécurité en utilisant des règles de pare-feu applicatif web (WAF) pour bloquer les requêtes CSRF. Il est également recommandé de désactiver temporairement le plugin si la mise à jour n'est pas immédiatement possible. Vérifiez après la mise à jour que les paramètres du plugin sont conformes à la configuration souhaitée et qu'il n'y a pas de modifications inattendues.
Mettre à jour vers la version 6.0.8, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-69021 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin Ays Pro Popup box, permettant à un attaquant d'effectuer des actions non autorisées.
Oui, si vous utilisez Ays Pro Popup box dans sa version 0.0.0 à 6.0.7, vous êtes affecté par cette vulnérabilité.
Mettez à jour Ays Pro Popup box vers la version 6.0.8 ou supérieure pour corriger cette vulnérabilité.
À ce jour, il n'y a aucune indication d'une exploitation active de CVE-2025-69021.
Consultez le site web du développeur Ays Pro Popup box ou le dépôt WordPress pour obtenir l'avis officiel concernant CVE-2025-69021.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.