| Nom du plugin | Surbma | MiniCRM Code court |
|---|---|
| Type de vulnérabilité | Script intersite (XSS) |
| Numéro CVE | CVE-2025-11800 |
| Urgence | Faible |
| Date de publication CVE | 2025-11-20 |
| URL source | CVE-2025-11800 |
Critique : XSS stocké dans “Surbma | MiniCRM Shortcode” (≤ 2.0) — Ce que les propriétaires de sites doivent savoir
Résumé
Une vulnérabilité de Cross‑Site Scripting (XSS) stockée affectant les versions ≤ 2.0 du plugin WordPress “Surbma | MiniCRM Shortcode” (CVE‑2025‑11800) a été divulguée publiquement. La faille permet à un utilisateur authentifié avec le rôle de Contributeur d'injecter du JavaScript persistant dans le contenu rendu par le plugin. Étant donné qu'il s'agit d'un XSS stocké, la charge utile malveillante est enregistrée sur le site et exécutée dans le navigateur de tout utilisateur qui consulte la page affectée — y compris les administrateurs et les éditeurs. Le score CVSS est de 6.5 (moyen), mais l'impact dans le monde réel varie selon l'utilisation du site et les visiteurs.
Cet avis :
- Explique la vulnérabilité et les scénarios d'exploitation en termes simples.
- Énumère les actions immédiates que les propriétaires de sites devraient entreprendre.
- Fournit des conseils techniques de détection et d'atténuation (neutres vis-à-vis des fournisseurs).
- Offre des meilleures pratiques de codage sécurisé pour les développeurs de plugins et les administrateurs.
Que s'est-il passé ? — Langage simple
Le plugin rend le contenu fourni par les utilisateurs authentifiés (rôle de Contributeur et supérieur) dans des pages via un shortcode ou une sortie similaire.
