Plateforme
wordpress
Composant
wp-event-solution
Corrigé dans
4.0.38
La vulnérabilité CVE-2025-7813 concerne une faille de type Server-Side Request Forgery (SSRF) découverte dans le plugin Eventin pour WordPress. Cette faille permet à un attaquant non authentifié de lancer des requêtes web à partir du serveur de l'application, ouvrant potentiellement la porte à l'accès à des ressources internes et à la modification de données. Les versions du plugin Eventin de 0.0.0 à 4.0.37 sont concernées. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les restrictions de sécurité et d'effectuer des requêtes vers des services internes qui ne sont normalement pas accessibles depuis l'extérieur. Cela pourrait inclure l'accès à des bases de données, des API internes ou d'autres ressources sensibles. Un attaquant pourrait potentiellement modifier des données, obtenir des informations confidentielles ou même compromettre l'ensemble du serveur WordPress. Le risque est exacerbé si le serveur WordPress est configuré pour accéder à d'autres services internes, car l'attaquant pourrait alors utiliser la vulnérabilité pour accéder à ces services indirectement.
La vulnérabilité CVE-2025-7813 a été rendue publique le 2025-08-23. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, rendant l'exploitation plus accessible. La probabilité d'exploitation est considérée comme moyenne en raison de la nature relativement simple de la vulnérabilité SSRF et de sa présence dans un plugin WordPress largement utilisé.
Websites utilizing the Eventin plugin for event management, particularly those with internal services accessible from the web server, are at risk. Shared hosting environments where multiple WordPress sites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'proxy_image' /var/www/html/wp-content/plugins/eventin/• generic web:
curl -I <wordpress_site_url>/wp-content/plugins/eventin/proxy_image?url=http://localhost:8080 # Check for internal resource accessdisclosure
Statut de l'Exploit
EPSS
0.15% (percentile 36%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Eventin vers une version corrigée dès que possible. En attendant la mise à jour, des mesures temporaires peuvent être prises. Il est recommandé de désactiver temporairement le plugin Eventin si cela n'affecte pas les opérations critiques. Si la désactivation n'est pas possible, envisagez de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des schémas tels que file:// ou gopher://. Vérifiez également les règles de pare-feu du serveur pour limiter l'accès aux services internes.
Mettez à jour le plugin Eventin vers la dernière version disponible pour atténuer la vulnérabilité de Forge de Requête Côté Serveur. Cette mise à jour corrige la fonction proxy_image, empêchant les attaquants non authentifiés de faire des requêtes web arbitraires depuis l'application.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-7813 est une vulnérabilité SSRF dans le plugin Eventin pour WordPress, permettant à des attaquants d'effectuer des requêtes web arbitraires depuis le serveur.
Vous êtes affecté si vous utilisez le plugin Eventin pour WordPress dans les versions de 0.0.0 à 4.0.37.
Mettez à jour le plugin Eventin vers la dernière version disponible, qui corrige cette vulnérabilité. En attendant, désactivez le plugin ou configurez un WAF.
À l'heure actuelle, il n'y a aucune indication d'une exploitation active, mais des PoC pourraient apparaître.
Consultez le site web du développeur du plugin Eventin ou le dépôt WordPress pour obtenir les dernières informations et les mises à jour de sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.