Bible SuperSearch <= 6.0.1 — Authenticated (Contributor+) Stored XSS via selector_height: What site owners and developers must do now

TL;DR

A stored Cross‑Site Scripting (XSS) vulnerability affecting the WordPress plugin “Bible SuperSearch” (versions ≤ 6.0.1) has been disclosed (CVE‑2025‑8064). An authenticated user with Contributor privileges or higher can inject a payload via the plugin’s selector_height paramètre. La charge utile est persistante et peut s'exécuter plus tard dans le contexte des administrateurs ou des visiteurs du site. L'auteur du plugin a corrigé le problème dans la version 6.1.0.

Actions immédiates (liste rapide) :

• Mettez à jour Bible SuperSearch vers 6.1.0 (ou version ultérieure) immédiatement.
• Si vous ne pouvez pas mettre à jour tout de suite, restreignez les comptes Contributor+, désactivez le plugin ou appliquez un patch virtuel via votre fournisseur d'hébergement/WAF.
• Scannez votre base de données et les paramètres de widget/plugin pour des valeurs selector_height suspectes ou des balises de script intégrées et supprimez-les.
• Effectuez une hygiène des identifiants pour les comptes avec des privilèges élevés et surveillez les journaux pour des signes d'exploitation.

Ce guide fournit un contexte technique, des scénarios d'attaque réalistes, des étapes de détection, des mesures de confinement, des conseils de renforcement pour les développeurs, ainsi que des signatures WAF pratiques et des suggestions de surveillance. Le ton est pratique et orienté vers les opérateurs de sites et les développeurs de plugins ; les conseils sont neutres vis-à-vis des fournisseurs.

Aperçu : ce qui s'est passé et pourquoi cela importe

On 20 August 2025 a stored XSS vulnerability (CVE‑2025‑8064) in Bible SuperSearch ≤ 6.0.1 was disclosed. An authenticated Contributor (or higher) can submit data via selector_height lesquelles le plugin les stocke et les restitue plus tard sans suffisamment de nettoyage/échappement. Comme la valeur est persistante, le balisage ou le script injecté s'exécute dans le navigateur des administrateurs, des éditeurs ou des visiteurs publics selon le contexte de sortie.

L'XSS stocké est particulièrement dangereux : la charge utile persiste côté serveur et s'exécute chaque fois que la sortie vulnérable est rendue. Les conséquences incluent la prise de contrôle administrative, le vol de session, la défiguration persistante du site et la distribution de logiciels malveillants côté client.

Bien que cette vulnérabilité nécessite un compte Contributor pour être exploitée (réduisant l'urgence par rapport aux failles non authentifiées), les comptes Contributor sont courants et peuvent être abusés ou compromis. Considérez la présence d'une telle faille comme un risque opérationnel significatif.

Quelles versions sont affectées et où cela a-t-il été corrigé

• Affected versions: Bible SuperSearch ≤ 6.0.1
• Corrigé dans : 6.1.0
• CVE : CVE‑2025‑8064
• Privilège requis : Contributeur

Comment la vulnérabilité fonctionne — résumé technique (non-vendeur)

À un niveau élevé :

1. Le plugin accepte un selector_height paramètre (paramètres du widget, attributs du shortcode, formulaire admin ou AJAX).
2. La valeur est stockée dans un stockage persistant (postmeta, options, paramètres du widget) sans validation ou assainissement adéquats.
3. Plus tard, la valeur stockée est rendue dans une page ou une interface admin sans échappement approprié, permettant l'exécution de HTML/JS.
4. Un attaquant peut insérer des charges utiles telles que ou . When an admin loads a page showing the stored value, the browser executes the payload in that user’s session context.

Because stored XSS payloads persist, the attacker’s code can be triggered repeatedly and used to escalate access, create persistent backdoors, or exfiltrate authentication tokens.

Scénarios d'exploitation réalistes

1. Insiders malveillants ou compte de contributeur compromis — Un contributeur injecte une charge utile dans les paramètres du widget ou du plugin qui s'exécute lorsque qu'un Éditeur/Admin consulte la zone affectée.
2. Flux de travail de publication d'invités/éditoriaux — Un Contributeur soumettant des articles ou rédigeant du contenu peut intégrer des charges utiles qui se déclenchent lors de l'aperçu éditorial ou lorsque les Éditeurs approuvent le contenu.
3. Exploitation de masse via création de comptes — Si un attaquant enregistre de nombreux comptes de Contributeur (politique d'enregistrement faible), il peut implanter plusieurs charges utiles pour persister à travers les vues admin.
4. Analyse et injection automatisées — Des attaquants opportunistes analysent les installations du plugin vulnérable et publient des charges utiles automatiquement sur des points de terminaison exposés.

Impact et ce qu'un attaquant peut faire

Le XSS stocké permet à un attaquant de :

• Voler des cookies ou des jetons de session et tenter de prendre le contrôle du compte.
• Perform actions via an admin’s browser (CSRF‑style operations).
• Install backdoors by issuing authenticated requests from an administrator’s session.
• Injecter du spam, rediriger le trafic ou charger des logiciels malveillants côté client.

Détection et indicateurs de compromission (IoCs)

Inspecter les éléments suivants :

• Valeurs de configuration des plugins, options des widgets, postmeta et options pour HTML ou JS intégrés (chercher
  Vérifiez ma commande

  0

  Sous-total

  Taxes et frais de port calculés à la caisse

  Passer à la caisse