WBase de données des vulnérabilités WordPress

ONG de sécurité de Hong Kong avertit sur JetProductGallery XSS (CVE-2025-54749)

Plugin JetProductGallery de WordPress
0
Partages
0
0
0
0





Urgent: JetProductGallery (<= 2.2.0.2) XSS (CVE-2025-54749) — What WordPress Site Owners Must Do Now


Nom du plugin JetProductGallery
Type de vulnérabilité Script intersite (XSS)
Numéro CVE CVE-2025-54749
Urgence Faible
Date de publication CVE 2025-08-14
URL source CVE-2025-54749

Urgent : JetProductGallery (<= 2.2.0.2) XSS (CVE-2025-54749) — Ce que les propriétaires de sites WordPress doivent faire maintenant

Par un expert en sécurité de Hong Kong — 2025-08-15

TL;DR — Résumé rapide

Une vulnérabilité de Cross‑Site Scripting (XSS) divulguée publiquement (CVE-2025-54749) affecte le plugin JetProductGallery pour WooCommerce lorsque la version du plugin installée est 2.2.0.2 ou inférieure. Le fournisseur a publié une mise à jour dans la version 2.2.0.3 qui corrige le problème. La vulnérabilité permet à un utilisateur avec des privilèges de contributeur d'injecter du HTML/JavaScript malveillant qui pourrait s'exécuter dans les navigateurs d'autres utilisateurs lorsque les pages de produits ou les composants de galerie sont consultés.

Si vous gérez un site WordPress qui utilise JetProductGallery :

  • Mettez à jour le plugin à 2.2.0.3 ou ultérieure immédiatement (le correctif du fournisseur est la solution principale).
  • Si vous ne pouvez pas mettre à jour immédiatement, appliquez des mesures d'atténuation : renforcez les privilèges des contributeurs, scannez à la recherche de scripts injectés, déployez des correctifs virtuels via votre WAF ou des filtres de serveur, et activez des protections en temps réel comme la politique de sécurité du contenu (CSP) pour réduire l'impact.
  • Examinez le site à la recherche de signes de compromission, vérifiez les journaux et restaurez à partir d'une sauvegarde propre si vous trouvez des preuves de code malveillant.

Cet avis explique le risque, les scénarios d'attaque réalistes, les étapes immédiates à suivre, les méthodes de détection et les mesures de durcissement à long terme — du point de vue d'un praticien de la sécurité de Hong Kong familiarisé avec le commerce électronique et les environnements multi-vendeurs.

Contexte : Ce que nous savons sur le problème

  • Type de vulnérabilité : Cross‑Site Scripting (XSS)
  • Logiciel affecté : JetProductGallery (plugin Jet Woo Product Gallery)
  • Versions affectées : <= 2.2.0.2
  • Corrigé dans : 2.2.0.3
  • CVE : CVE-2025-54749
  • Rapporté par : chercheur en sécurité (divulgation publique)
  • Privilèges requis pour l'attaquant : Contributeur (capable d'ajouter des produits ou de modifier le contenu lié aux produits)
  • CVSS (rapporté) : 6.5 — gravité de niveau moyen reflétant un risque persistant d'injection de contenu

Le XSS persistant sur un site de commerce électronique a un impact élevé sur la confiance et la sécurité des clients. Le facteur distinctif ici est qu'un compte de niveau Contributeur peut injecter des charges utiles qui persistent sur les pages de produits — un risque réaliste dans les places de marché, les magasins d'agences et les catalogues multi-auteurs courants à Hong Kong et dans la région.

Pourquoi cela importe — chemins d'attaque réalistes

Un attaquant qui peut créer ou modifier du contenu produit (rôle de Contributeur ou similaire) pourrait :

  • Injecter des balises de script dans les légendes de galerie, les métadonnées d'image, les champs personnalisés ou d'autres champs de produit que le plugin rend sans échappement approprié.
  • Utiliser des scripts injectés pour rediriger les utilisateurs vers des pages de phishing, afficher un contenu superposé malveillant ou tenter de voler des jetons de session (sous réserve des protections du navigateur).
  • Charger des ressources malveillantes supplémentaires (trackers, scripts de vol) ou déclencher des actions indésirables du navigateur contre les utilisateurs.
  • Persister des charges utiles afin qu'elles se déclenchent chaque fois que des pages de produits ou des galeries sont consultées, exposant rapidement les visiteurs à grande échelle.

Actions immédiates (premières 1 à 24 heures)

  1. Mettre à jour JetProductGallery vers 2.2.0.3 ou une version ultérieure

    C'est la correction principale et définitive. Mettez à jour depuis l'administration WordPress (Extensions → Extensions installées → Mettre à jour) ou via WP-CLI :

    mise à jour du plugin wp jet-woo-product-gallery

    Vérifiez le slug du plugin dans votre installation ; remplacez le slug dans la commande si différent.

  2. Si vous ne pouvez pas mettre à jour immédiatement, déployez des contrôles compensatoires

    Appliquez des règles de serveur ou de WAF pour bloquer ou assainir les balises de script et les charges utiles suspectes dans les requêtes et les champs liés aux produits que le plugin rend (légendes de galerie, titres d'images, méta-produits). Bloquez les requêtes POST/PUT contenant