| Nom du plugin | Gutenify |
|---|---|
| Type de vulnérabilité | Script intersite (XSS) |
| Numéro CVE | CVE-2025-8605 |
| Urgence | Faible |
| Date de publication CVE | 2025-11-17 |
| URL source | CVE-2025-8605 |
Critique : XSS stocké dans le bloc Count Up de Gutenify (CVE-2025-8605) — Ce que les propriétaires de sites WordPress et les développeurs doivent faire maintenant
Date : 17 novembre 2025
Gravité : CVSS 6.5 (Moyen)
Versions vulnérables : Gutenify ≤ 1.5.9
CVE : CVE-2025-8605
Privilège requis : Contributeur
En tant qu'expert en sécurité à Hong Kong, je résume le problème de manière claire et fournis une réponse pragmatique, classée par ordre de priorité pour les propriétaires de sites, les administrateurs, les développeurs et les hébergeurs. Cet avis se concentre sur les actions défensives et les pratiques de codage sécurisé ; il ne reproduit pas de code d'exploitation.
TL;DR — Actions immédiates
- Si vous utilisez Gutenify et êtes sur la version ≤ 1.5.9 : mettez à jour immédiatement si une version corrigée est disponible de l'auteur du plugin.
- Si vous ne pouvez pas mettre à jour maintenant : supprimez ou désactivez le bloc Count Up, restreignez les téléchargements des contributeurs et bloquez/inspectez les requêtes backend qui tentent de sauvegarder des charges utiles semblables à du HTML.
- Appliquez le principe du moindre privilège pour les comptes utilisateurs : restreignez temporairement ou auditez les contributeurs qui peuvent ajouter des blocs.
- Recherchez dans le contenu du site (articles, blocs réutilisables, modèles, importations de motifs) des
