WBase de données des vulnérabilités WordPress

Avis de sécurité communautaire sur la vulnérabilité de redirection de site mobile (CVE20259884)

Plugin de redirection de site mobile WordPress
0
Partages
0
0
0
0






Urgent security advisory: CVE-2025-9884 — Mobile Site Redirect (<= 1.2.1) — CSRF → Stored XSS


Nom du plugin Redirection de site mobile
Type de vulnérabilité Contrefaçon de requête intersite (CSRF)
Numéro CVE CVE-2025-9884
Urgence Faible
Date de publication CVE 2025-10-03
URL source CVE-2025-9884

Avis de sécurité urgent : CVE-2025-9884 — Redirection de site mobile (≤ 1.2.1) — CSRF → XSS stocké

Publié : 3 octobre 2025 · Avis d'expert en sécurité de Hong Kong

En tant qu'équipe de sécurité basée à Hong Kong, nous publions cet avis pour informer les propriétaires de sites WordPress et les développeurs d'une vulnérabilité récemment divulguée affectant le plugin Redirection de site mobile (versions ≤ 1.2.1), suivie sous le nom de CVE-2025-9884. La faille est une falsification de requête inter-sites (CSRF) qui peut être enchaînée à un script inter-sites stocké (XSS). En résumé : un attaquant peut amener le navigateur d'un utilisateur privilégié à stocker du JavaScript malveillant dans les paramètres du site, qui peut ensuite s'exécuter dans les écrans d'administration ou sur le site public.

TL;DR — Ce que vous devez savoir, dès maintenant

  • Une vulnérabilité dans Redirection de site mobile ≤ 1.2.1 peut être exploitée via CSRF pour injecter des charges utiles XSS stockées dans le site.
  • Divulgation publique : 3 oct 2025 (CVE-2025-9884).
  • Les attaquants doivent généralement tromper un administrateur authentifié (ou un autre utilisateur privilégié) pour qu'il visite une page malveillante ; la charge utile finale est un XSS persistant (stocké).
  • Impact potentiel : vol de session, prise de contrôle de l'administration, portes dérobées persistantes, spam SEO, redirections malveillantes ou compromission totale du site.
  • Au moment de la divulgation, il peut ne pas y avoir de correctif officiel pour les versions affectées — considérez les installations comme à risque jusqu'à ce qu'un correctif du fournisseur soit disponible et vérifié.
  • Actions de protection immédiates : désactiver ou supprimer le plugin, patch virtuel (WAF ou blocs au niveau du serveur), rechercher et nettoyer les charges utiles stockées, faire tourner les identifiants et les sels, et effectuer une réponse complète à l'incident si nécessaire.

Comment la vulnérabilité fonctionne (découpage technique)

En résumé, la vulnérabilité est une combinaison d'une protection CSRF manquante et d'une désinfection de sortie inadéquate pour les paramètres stockés :

  1. Le plugin expose une action d'administration ou un point de terminaison de paramètres qui accepte les entrées utilisateur (règles de redirection, texte personnalisé, etc.).
  2. Le point de terminaison manque de protection CSRF appropriée (vérifications de nonce) et/ou de vérifications de capacité adéquates, permettant à un POST d'une page contrôlée par un attaquant d'être accepté par le navigateur d'un administrateur authentifié.
  3. The plugin saves POSTed values into the database without sufficient sanitization. If those values include JavaScript (for example,