WBase de données des vulnérabilités WordPress

Avis de sécurité Script intersite dans Livemesh (CVE20258780)

Script intersite (XSS) dans le plugin WordPress Livemesh SiteOrigin Widgets
0
Partages
0
0
0
0
Nom du plugin Widgets Livemesh SiteOrigin
Type de vulnérabilité Script intersite (XSS)
Numéro CVE CVE-2025-8780
Urgence Faible
Date de publication CVE 2025-12-13
URL source CVE-2025-8780

Urgent : XSS stocké authentifié dans Livemesh SiteOrigin Widgets (≤ 3.9.1) — Ce que vous devez savoir et comment protéger votre site WordPress

Date : 13 déc. 2025
CVE : CVE-2025-8780
Gravité : CVSS 6.5 (Modéré)
Plugin affecté : Widgets Livemesh SiteOrigin ≤ 3.9.1
Corrigé dans : 3.9.2
Privilège requis pour exploiter : Contributeur (authentifié)

Du point de vue d'un expert en sécurité de Hong Kong : il s'agit d'un avis pragmatique et priorisé destiné aux administrateurs, développeurs et intervenants en cas d'incident qui exploitent WordPress en production. La vulnérabilité décrite ci-dessous permet à un compte de niveau contributeur de persister JavaScript dans la configuration des widgets, qui peut s'exécuter lorsqu'il est consulté par des administrateurs, éditeurs ou visiteurs publics. Lisez et agissez immédiatement.

Résumé exécutif (éléments d'action rapide)

  • Mettez à jour Livemesh SiteOrigin Widgets vers 3.9.2 (ou version ultérieure) immédiatement — cette version contient le correctif.
  • Si vous ne pouvez pas mettre à jour immédiatement : supprimez ou désactivez les widgets affectés (Hero Header et Pricing Table), retirez les droits d'édition des contributeurs pour les utilisateurs non fiables, ou appliquez des règles génériques de WAF/patch virtuel pour bloquer les charges utiles évidentes.
  • Recherchez sur votre site des balises de script suspectes dans les options de widget, les publications et les tables d'options ; recherchez des signes de compromission (nouveaux comptes administrateurs, fichiers de thème modifiés, tâches planifiées inattendues ou requêtes réseau sortantes).
  • Si vous trouvez des preuves d'exploitation : isolez le site, faites tourner les identifiants et les clés, supprimez le contenu malveillant, exécutez des analyses complètes de logiciels malveillants et restaurez à partir d'une sauvegarde propre si nécessaire.

Quelle est la vulnérabilité ?

Il s'agit d'une vulnérabilité de script intersite stocké (XSS) (CVE-2025-8780) dans les versions de Livemesh SiteOrigin Widgets jusqu'à et y compris 3.9.1. Certains champs de widget — en particulier les widgets Hero Header et Pricing Table — acceptaient du HTML qui n'était pas correctement assaini ou échappé lors du rendu. Un utilisateur ayant des privilèges de contributeur pouvait stocker du JavaScript (par exemple,