Plateforme
wordpress
Composant
truelysell-core
Corrigé dans
1.8.8
La vulnérabilité CVE-2025-8572 affecte le plugin Truelysell Core pour WordPress, versions 0 jusqu'à 1.8.7. Elle permet une élévation de privilèges, permettant à des attaquants non authentifiés de créer des comptes avec des privilèges accrus, y compris l'accès administrateur. L'impact est critique, car un attaquant peut compromettre l'ensemble du site WordPress. La version corrigée est 1.8.8, et la vulnérabilité a été rendue publique le 14 février 2026.
Cette vulnérabilité d'élévation de privilèges permet à un attaquant non authentifié de contourner les mécanismes de contrôle d'accès du plugin Truelysell Core. En manipulant le paramètre user_role lors de l'inscription, un attaquant peut se faire attribuer un rôle d'administrateur, lui conférant un contrôle total sur le site WordPress. Cela inclut la capacité de modifier le contenu, d'installer des plugins malveillants, de voler des données sensibles (informations utilisateur, données de paiement, etc.) et de compromettre l'ensemble du serveur. L'absence de validation appropriée du rôle utilisateur rend cette attaque particulièrement facile à réaliser.
La vulnérabilité CVE-2025-8572 a été rendue publique le 14 février 2026. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme élevée en raison de la simplicité de l'attaque et de l'absence de validation des entrées. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation active.
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Truelysell Core vers la version 1.8.8 ou supérieure. Si la mise à jour n'est pas possible immédiatement, il est fortement recommandé de désactiver temporairement le plugin pour empêcher toute exploitation. En attendant la mise à jour, il n'existe pas de contournement de configuration connu. Surveillez attentivement les journaux d'accès et d'erreurs de WordPress pour détecter toute tentative d'inscription suspecte. Après la mise à jour, vérifiez les utilisateurs existants pour vous assurer qu'aucun compte administrateur non autorisé n'a été créé.
Mettre à jour vers la version 1.8.8, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-8572 is a critical vulnerability in the Truelysell Core WordPress plugin allowing unauthenticated attackers to gain administrator access due to insufficient user role validation during registration.
Yes, if you are using Truelysell Core plugin versions 0 through 1.8.7, you are vulnerable to this privilege escalation attack.
Upgrade the Truelysell Core plugin to version 1.8.8 or later to resolve this vulnerability. If immediate upgrade is not possible, disable user registration temporarily.
While no widespread exploitation has been publicly reported, the ease of exploitation suggests a high probability of future attacks. Continuous monitoring is recommended.
Refer to the Truelysell Core plugin website or WordPress plugin repository for the official security advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.