| Nom du plugin | Link Hopper |
|---|---|
| Type de vulnérabilité | Script intersite (XSS) |
| Numéro CVE | CVE-2025-15483 |
| Urgence | Faible |
| Date de publication CVE | 2026-02-13 |
| URL source | CVE-2025-15483 |
Urgent : XSS stocké dans Link Hopper (<= 2.5) — Ce que les propriétaires de sites WordPress et les développeurs doivent savoir
Date : 13 février 2026
Auteur : Expert en sécurité de Hong Kong
Résumé
Une vulnérabilité de script intersite stocké authentifié (XSS) (CVE-2025-15483) a été divulguée dans le plugin Link Hopper (versions jusqu'à et y compris 2.5). Un administrateur authentifié peut injecter du HTML/JavaScript dans le champ hop_name qui est ensuite rendu sans échappement approprié. Bien que l'exploitation nécessite des privilèges d'administrateur, un XSS stocké s'exécutant dans un contexte administratif peut entraîner le vol de session, la création de portes dérobées, la défiguration du site et d'autres compromissions.
TL;DR — Actions immédiates
- Vérifiez si Link Hopper est installé et confirmez la version. Traitez les versions ≤ 2.5 comme vulnérables.
- Si aucun correctif du fournisseur n'est disponible, envisagez de désactiver ou de supprimer le plugin jusqu'à ce qu'une version sécurisée soit publiée.
- Limitez l'accès administratif : examinez les comptes administrateurs, appliquez des mots de passe forts, activez l'authentification multifactorielle lorsque cela est possible.
- Search the database for hop_name entries containing HTML,
