Bible SuperSearch <= 6.0.1 — Authentifié (Contributeur+) XSS stocké via selector_height : Ce que les propriétaires de sites et les développeurs doivent faire maintenant

TL;DR

Une vulnérabilité de Cross‑Site Scripting (XSS) stockée affectant le plugin WordPress “Bible SuperSearch” (versions ≤ 6.0.1) a été divulguée (CVE‑2025‑8064). Un utilisateur authentifié avec des privilèges de Contributeur ou supérieurs peut injecter une charge utile via le plugin selector_height paramètre. La charge utile est persistante et peut s'exécuter plus tard dans le contexte des administrateurs ou des visiteurs du site. L'auteur du plugin a corrigé le problème dans la version 6.1.0.

Actions immédiates (liste rapide) :

• Mettez à jour Bible SuperSearch vers 6.1.0 (ou version ultérieure) immédiatement.
• Si vous ne pouvez pas mettre à jour tout de suite, restreignez les comptes Contributor+, désactivez le plugin ou appliquez un patch virtuel via votre fournisseur d'hébergement/WAF.
• Scannez votre base de données et les paramètres de widget/plugin pour des valeurs selector_height suspectes ou des balises de script intégrées et supprimez-les.
• Effectuez une hygiène des identifiants pour les comptes avec des privilèges élevés et surveillez les journaux pour des signes d'exploitation.

Ce guide fournit un contexte technique, des scénarios d'attaque réalistes, des étapes de détection, des mesures de confinement, des conseils de renforcement pour les développeurs, ainsi que des signatures WAF pratiques et des suggestions de surveillance. Le ton est pratique et orienté vers les opérateurs de sites et les développeurs de plugins ; les conseils sont neutres vis-à-vis des fournisseurs.

Aperçu : ce qui s'est passé et pourquoi cela importe

Le 20 août 2025, une vulnérabilité XSS stockée (CVE‑2025‑8064) dans Bible SuperSearch ≤ 6.0.1 a été divulguée. Un Contributeur authentifié (ou supérieur) peut soumettre des données via selector_height lesquelles le plugin les stocke et les restitue plus tard sans suffisamment de nettoyage/échappement. Comme la valeur est persistante, le balisage ou le script injecté s'exécute dans le navigateur des administrateurs, des éditeurs ou des visiteurs publics selon le contexte de sortie.

L'XSS stocké est particulièrement dangereux : la charge utile persiste côté serveur et s'exécute chaque fois que la sortie vulnérable est rendue. Les conséquences incluent la prise de contrôle administrative, le vol de session, la défiguration persistante du site et la distribution de logiciels malveillants côté client.

Bien que cette vulnérabilité nécessite un compte Contributor pour être exploitée (réduisant l'urgence par rapport aux failles non authentifiées), les comptes Contributor sont courants et peuvent être abusés ou compromis. Considérez la présence d'une telle faille comme un risque opérationnel significatif.

Quelles versions sont affectées et où cela a-t-il été corrigé

• Versions affectées : Bible SuperSearch ≤ 6.0.1
• Corrigé dans : 6.1.0
• CVE : CVE‑2025‑8064
• Privilège requis : Contributeur

Comment la vulnérabilité fonctionne — résumé technique (non-vendeur)

À un niveau élevé :

1. Le plugin accepte un selector_height paramètre (paramètres du widget, attributs du shortcode, formulaire admin ou AJAX).
2. La valeur est stockée dans un stockage persistant (postmeta, options, paramètres du widget) sans validation ou assainissement adéquats.
3. Plus tard, la valeur stockée est rendue dans une page ou une interface admin sans échappement approprié, permettant l'exécution de HTML/JS.
4. Un attaquant peut insérer des charges utiles telles que ou . Lorsque un administrateur charge une page affichant la valeur stockée, le navigateur exécute la charge utile dans le contexte de session de cet utilisateur.

Parce que les charges utiles XSS stockées persistent, le code de l'attaquant peut être déclenché à plusieurs reprises et utilisé pour escalader l'accès, créer des portes dérobées persistantes ou exfiltrer des jetons d'authentification.

Scénarios d'exploitation réalistes

1. Insiders malveillants ou compte de contributeur compromis — Un contributeur injecte une charge utile dans les paramètres du widget ou du plugin qui s'exécute lorsque qu'un Éditeur/Admin consulte la zone affectée.
2. Flux de travail de publication d'invités/éditoriaux — Un Contributeur soumettant des articles ou rédigeant du contenu peut intégrer des charges utiles qui se déclenchent lors de l'aperçu éditorial ou lorsque les Éditeurs approuvent le contenu.
3. Exploitation de masse via création de comptes — Si un attaquant enregistre de nombreux comptes de Contributeur (politique d'enregistrement faible), il peut implanter plusieurs charges utiles pour persister à travers les vues admin.
4. Analyse et injection automatisées — Des attaquants opportunistes analysent les installations du plugin vulnérable et publient des charges utiles automatiquement sur des points de terminaison exposés.

Impact et ce qu'un attaquant peut faire

Le XSS stocké permet à un attaquant de :

• Voler des cookies ou des jetons de session et tenter de prendre le contrôle du compte.
• Effectuer des actions via le navigateur d'un administrateur (opérations de type CSRF).
• Installer des portes dérobées en émettant des requêtes authentifiées depuis la session d'un administrateur.
• Injecter du spam, rediriger le trafic ou charger des logiciels malveillants côté client.

Détection et indicateurs de compromission (IoCs)

Inspecter les éléments suivants :

• Valeurs de configuration des plugins, options des widgets, postmeta et options pour HTML ou JS intégrés (chercher
  Vérifiez ma commande

  0

  Sous-total

  Taxes et frais de port calculés à la caisse

  Passer à la caisse