WBase de données des vulnérabilités WordPress

Alerte communautaire : vulnérabilité XSS dans Colibri (CVE202511747)

Cross Site Scripting (XSS) dans le plugin WordPress Colibri Page Builder
0
Partages
0
0
0
0
Nom du plugin Constructeur de pages Colibri
Type de vulnérabilité Script intersite (XSS)
Numéro CVE CVE-2025-11747
Urgence Moyen
Date de publication CVE 2025-12-18
URL source CVE-2025-11747

XSS stocké authentifié (contributeur) dans le constructeur de pages Colibri (<=1.0.345) : Ce que les propriétaires de sites doivent faire maintenant

Auteur : Expert en sécurité de Hong Kong

Date : 2025-12-18

Étiquettes : WordPress, XSS, Colibri, WAF, sécurité, vulnérabilités des plugins

TL;DR — Une vulnérabilité de Cross‑Site Scripting (XSS) stockée dans les versions du constructeur de pages Colibri ≤ 1.0.345 (CVE‑2025‑11747) permet à un utilisateur authentifié avec des privilèges de contributeur d'injecter des charges utiles via un shortcode. Le fournisseur a corrigé le problème dans 1.0.358. Si une mise à jour immédiate n'est pas possible, appliquez des atténuations en couches : restreindre les capacités des contributeurs, assainir l'utilisation des shortcodes, scanner et nettoyer le contenu stocké, et envisager un patch virtuel via un WAF géré jusqu'à ce que vous mettiez à jour. Cet avis explique l'impact, la détection, les étapes de triage sûres et le durcissement à long terme.

Que s'est-il passé — résumé pour les propriétaires de sites et les administrateurs

Une vulnérabilité de Cross‑Site Scripting (XSS) stockée a été découverte dans le plugin constructeur de pages Colibri affectant les versions jusqu'à et y compris 1.0.345. Un utilisateur authentifié avec des privilèges de contributeur (ou supérieurs) peut insérer du contenu qui s'affiche ensuite sur le front-end sans assainissement suffisant. Comme le vecteur est stocké, le script malveillant reste dans la base de données et s'exécute dans le navigateur d'un visiteur lorsque le shortcode affecté est rendu.

  • Logiciel affecté : Plugin constructeur de pages Colibri pour WordPress
  • Versions vulnérables : ≤ 1.0.345
  • Corrigé dans : 1.0.358
  • CVE : CVE‑2025‑11747
  • Privilège requis : Contributeur
  • Classe de vulnérabilité : Cross‑Site Scripting (XSS) stocké
  • CVSS (rapporté) : CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L (environ 6.5)

Le XSS stocké est souvent sous-estimé. Combiné avec des contrôles de session faibles, une élévation de privilèges ou une ingénierie sociale, le XSS stocké peut permettre la prise de contrôle de compte, le phishing sous votre propre domaine, des malwares drive-by et la manipulation de contenu.

Pourquoi c'est important — scénarios d'impact réalistes

Le XSS stocké est dangereux car l'attaquant peut persister une charge utile et cibler tout utilisateur qui consulte la page affectée. Les résultats réalistes incluent :

  • Vol de session ou exposition de jetons pour les utilisateurs avec des privilèges élevés (si les cookies ou les jetons ne sont pas correctement protégés).
  • Redirections malveillantes ou usurpation d'interface utilisateur pour tromper les administrateurs afin qu'ils effectuent des actions sensibles.
  • Insertion de portes dérobées, de malwares basés sur JavaScript ou de contenu qui nuit au SEO et à la réputation.
  • Élévation par ingénierie sociale — l'attaquant convainc un éditeur ou un administrateur de consulter ou de prévisualiser du contenu compromis.

Comme les comptes de contributeurs (couramment utilisés pour les rédacteurs invités ou les collaborateurs externes) peuvent exploiter ce vecteur, les sites qui acceptent du contenu externe sans révision stricte sont à risque plus élevé.

Comment un attaquant pourrait (théoriquement) exploiter cela

  1. L'attaquant s'inscrit ou utilise un compte Contributeur existant.
  2. Ils créent ou modifient du contenu qui inclut le shortcode vulnérable ou les attributs de shortcode traités par Colibri, intégrant une charge utile de script qui n'est pas correctement assainie.
  3. Le contenu est enregistré dans la base de données WordPress.
  4. Lorsque un utilisateur du front-end (visiteur, éditeur ou admin) consulte la page, la charge utile stockée s'exécute dans le contexte de leur navigateur.
  5. La charge utile peut voler des cookies, envoyer des données à un attaquant ou effectuer des actions autorisées par la session et le contexte du navigateur de la victime.

L'exploitation nécessite un compte Contributeur et une interaction utilisateur (consultation ou prévisualisation de la page). Ce n'est pas trivialement propagable entre les sites, mais peut être armé rapidement au sein d'un seul site et escaladé avec l'ingénierie sociale.

Remarque : Aucun code d'exploitation ou charge utile n'est fourni ici. Si vous traitez ce problème, faites-le sur une instance de test isolée et suivez les pratiques de divulgation responsable.

Actions immédiates que chaque propriétaire de site devrait prendre (dans l'ordre)

  1. Mettez à jour le plugin

    Mettez à jour Colibri Page Builder vers la version 1.0.358 ou ultérieure immédiatement. Testez la mise à jour sur un environnement de staging si vous avez des personnalisations complexes. Si le staging n'est pas disponible, effectuez une sauvegarde complète (base de données + fichiers) avant de mettre à jour.

  2. Auditez le contenu récent et les shortcodes

    Recherchez des publications, des pages, des widgets et des postmeta pour des modèles de shortcode inhabituels et des attributs suspects. Recherchez des éléments inattendus.