Contexte et arrière-plan

Sermon Manager est un plugin largement utilisé pour gérer les sermons, les médias et les métadonnées sur les sites WordPress utilisés par les églises et les organisations basées sur la foi. Tout plugin acceptant du contenu fourni par l'utilisateur doit valider les entrées et échapper correctement les sorties.

Le 31-12-2025, un avis public et un CVE (CVE-2025-63000) ont été publiés décrivant un défaut XSS dans Sermon Manager ≤ 2.30.0. Le problème permet à un attaquant qui peut créer ou modifier du contenu avec un compte de niveau contributeur de concevoir un contenu qui peut exécuter un script dans le contexte du navigateur d'un administrateur ou d'un autre visiteur du site — mais l'exploitation nécessite une interaction utilisateur (la victime doit cliquer ou voir un élément conçu).

Étant donné la présence courante de comptes contributeurs sur les sites communautaires et d'église, cette vulnérabilité est importante même si elle nécessite une interaction UI et un rôle à faible privilège.

Ce que nous savons sur CVE-2025-63000

• Logiciel affecté : Plugin WordPress Sermon Manager, versions ≤ 2.30.0
• Type de vulnérabilité : Script intersite (XSS), injection/A3
• CVE : CVE-2025-63000
• Score CVSS v3.1 : 6.5 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L)
• Privilège requis : Contributeur (ou rôles de créateur de contenu similaires à faible privilège)
• Interaction utilisateur : Requis (la victime doit cliquer sur un lien, visiter une page conçue ou interagir d'une autre manière)
• Correction officielle : Au moment de la publication, aucune version fixe officielle ne peut être disponible. Les administrateurs du site doivent suivre les atténuations jusqu'à ce que le fournisseur publie une version corrigée.

En résumé : un utilisateur à faible privilège peut préparer du contenu qui, lorsqu'il est rendu et interagi avec par un autre utilisateur (y compris les administrateurs), peut exécuter un script. Les impacts possibles incluent le vol de session, la défiguration de contenu et l'escalade vers des actions administratives si les sessions administratives sont exposées.

Surface d'attaque, prérequis et impact réaliste

1. L'attaquant obtient un compte de Contributeur (ou équivalent) — via l'enregistrement, la connexion sociale ou des identifiants compromis.
2. L'attaquant crée ou édite des métadonnées de sermon, des titres, des descriptions, des pièces jointes ou d'autres champs que le plugin stocke et rend ensuite.
3. L'attaquant crée un contenu contenant des balises ou des attributs qui contournent une sanitation/échappement insuffisante dans les modèles de plugin ou l'interface utilisateur admin.
4. Un utilisateur privilégié (éditeur, admin) ou un visiteur non méfiant clique sur un lien malveillant ou visite la page conçue, déclenchant l'exécution (interface utilisateur requise).
5. Le navigateur exécute le script injecté dans l'origine du site ; l'attaquant peut tenter de voler des cookies (si les cookies ne sont pas HttpOnly), effectuer des actions au nom de la victime ou présenter une interface utilisateur malveillante.

L'impact réaliste dépend de la manière dont les interfaces administratives rendent le contenu des contributeurs non échappé, si les audiences incluent des utilisateurs à rôle élevé, et quels en-têtes de sécurité et attributs de cookie sont en place. Un échappement et des en-têtes appropriés réduisent les pires résultats.

Comment détecter si votre site est vulnérable ou a été ciblé

1. Confirmer la version du plugin
   • Dans le tableau de bord : Plugins → Plugins installés → Gestionnaire de sermons → vérifier la version.
   • Via WP-CLI : wp plugin get sermon-manager-for-wordpress --fields=version
2. Recherchez des éléments suspects
   Vérifiez ma commande

   0

   Sous-total

   Taxes et frais de port calculés à la caisse

   Passer à la caisse