WBase de données des vulnérabilités WordPress

Alerte de Hong Kong XSS dans le popup WordPress (CVE202515611)

Cross Site Scripting (XSS) dans le plugin de boîte popup de WordPress
0
Partages
0
0
0
0
Nom du plugin Plugin WordPress Popup Box AYS Pro
Type de vulnérabilité Script intersite (XSS)
Numéro CVE CVE-2025-15611
Urgence Moyen
Date de publication CVE 2026-04-08
URL source CVE-2025-15611

Analyse de CVE-2025-15611 — XSS stocké administrateur via CSRF dans le plugin Popup Box (< 5.5.0) & Comment protéger votre site WordPress

Auteur : Expert en sécurité de Hong Kong

Date : 2026-04-08

Résumé : Une vulnérabilité de type Cross-Site Scripting (XSS) stockée de gravité moyenne (CVE-2025-15611) a été divulguée dans le plugin WordPress Popup Box AYS Pro (versions affectées < 5.5.0). La vulnérabilité permet à un attaquant d'utiliser un vecteur CSRF pour amener des utilisateurs privilégiés à enregistrer un contenu malveillant qui devient stocké de manière persistante et exécuté. Cet article explique le risque, la détection, l'atténuation et les étapes pratiques que vous pouvez prendre immédiatement en utilisant le renforcement, les corrections de code et les atténuations temporaires.

Que s'est-il passé (langage simple)

Un plugin popup largement utilisé pour WordPress a publié un avis de sécurité : les versions antérieures à 5.5.0 contiennent une vulnérabilité de type Cross-Site Scripting (XSS) stockée qui peut être déclenchée via Cross-Site Request Forgery (CSRF). En termes simples, un attaquant peut créer une page ou un lien qui, lorsqu'il est visité par un administrateur (ou un autre utilisateur privilégié) tout en étant authentifié, provoque le stockage de HTML/JavaScript malveillant sur le site. Ce contenu stocké s'exécute plus tard dans le contexte du navigateur des administrateurs ou des visiteurs, permettant le vol de session, des actions malveillantes, la défiguration du site, des injections de spam, et plus encore.

Si votre site utilise ce plugin et qu'il est actif et non mis à jour vers 5.5.0 ou une version ultérieure, considérez cela comme urgent : mettez à jour dès que possible ou appliquez immédiatement des atténuations conservatrices.

Résumé technique

  • Vulnérabilité : XSS stocké par l'administrateur via Cross-Site Request Forgery (CSRF)
  • CVE : CVE-2025-15611
  • Versions affectées : versions du plugin antérieures à 5.5.0
  • Privilèges requis : l'attaque est conçue par un acteur non authentifié, mais l'exploitation nécessite qu'un utilisateur privilégié (par exemple, un administrateur) interagisse tout en étant authentifié
  • CVSS (rapporté) : ~7.1 (moyenne)
  • Type : XSS persistant (stocké) déclenché via CSRF

Comment l'exploitation fonctionne (étape par étape)

  1. Le plugin expose un formulaire ou un point de terminaison AJAX destiné à l'administrateur utilisé pour créer ou modifier le contenu des popups (titre, corps HTML, CSS, etc.).
  2. Le point de terminaison accepte le contenu et le stocke sans vérifier correctement l'origine de la demande (pas de vérification de nonce ou de référent suffisante) et sans une sanitation/échappement approprié du HTML.
  3. Un attaquant crée une page ou un e-mail malveillant contenant une requête falsifiée (lien ou formulaire auto-soumis) ciblant le point de terminaison administrateur vulnérable. La requête falsifiée inclut des charges utiles JavaScript intégrées dans un champ de contenu popup (par exemple,