Plateforme
wordpress
Composant
user-meta
Corrigé dans
3.1.3
La vulnérabilité CVE-2025-9693 affecte le plugin WordPress User Meta – User Profile Builder et User management. Elle permet à un attaquant authentifié d'accéder et de supprimer des fichiers arbitraires sur le serveur en raison d'une validation insuffisante des chemins de fichiers. Cette faille peut conduire à une exécution de code à distance si des fichiers critiques, comme wp-config.php, sont supprimés. Les versions concernées sont celles allant de 0.0.0 à 3.1.2, et une correction a été déployée dans la version 3.1.3.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant authentifié, avec un accès de niveau Subscriber ou supérieur, de supprimer des fichiers sensibles sur le serveur WordPress. La suppression de wp-config.php, par exemple, permettrait à l'attaquant de compromettre l'ensemble de l'installation WordPress, en modifiant les paramètres de configuration de la base de données et en exécutant du code malveillant. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite qu'un accès limité au site WordPress, rendant de nombreuses installations potentiellement vulnérables. La suppression d'autres fichiers de configuration ou de code pourrait également permettre à l'attaquant de prendre le contrôle du serveur.
La vulnérabilité CVE-2025-9693 a été publiée le 11 septembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur le KEV (Known Exploited Vulnerabilities) de CISA. L'existence d'un proof-of-concept public est inconnue à ce jour, mais la simplicité de l'exploitation rend probable son apparition. Il est recommandé de surveiller les sources d'informations sur les vulnérabilités et les exploits pour détecter toute activité malveillante.
WordPress websites utilizing the User Meta – User Profile Builder and User management plugin, particularly those with Subscriber-level users or higher who have access to user management functionalities, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable, as are WordPress installations with outdated plugins and weak security configurations.
• wordpress / plugin:
wp plugin list --status=inactive | grep 'user-meta'• wordpress / plugin:
wp plugin update --all• wordpress / server:
find /var/www/html/wp-content/plugins/user-meta/ -type f -name '*.php' -print0 | xargs -0 grep -i 'postInsertUserProcess'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/user-meta/ | grep 'Server'disclosure
patch
Statut de l'Exploit
EPSS
0.16% (percentile 37%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin User Meta – User Profile Builder et User management vers la version 3.1.3 ou supérieure. Si la mise à jour est problématique, envisagez de restaurer une sauvegarde antérieure à l'installation du plugin ou de désactiver temporairement le plugin. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les permissions d'écriture sur le répertoire WordPress et en mettant en place des règles WAF (Web Application Firewall) pour bloquer les requêtes suspectes ciblant les fonctions de manipulation de fichiers. Surveillez les journaux d'accès et d'erreurs du serveur WordPress pour détecter toute activité suspecte.
Actualice el plugin User Meta – User Profile Builder and User management plugin a la versión 3.1.3 o superior para mitigar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes autenticados eliminen archivos sensibles en el servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-9693 is a vulnerability in the User Meta plugin for WordPress allowing authenticated users to delete arbitrary files, potentially leading to remote code execution.
You are affected if your WordPress site uses the User Meta plugin in versions 0.0.0 through 3.1.2.
Upgrade the User Meta plugin to version 3.1.3 or later to resolve the vulnerability.
While no active exploitation has been confirmed, the ease of exploitation suggests a high probability of exploitation in the wild.
Refer to the plugin developer's website or WordPress.org plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.