Origine : bjCSIRT
Numéro : 2025/ALERTE/046
Date de l’alerte : 16/06/2025
APERÇU :
Une vulnérabilité de type Cross site Scripting affectant WordPress permettrait à un acteur malveillant d’exécuter du code Javascript dans les navigateurs des utilisateurs.
DESCRIPTION :
WP Easy Contact est une extension WordPress utilisée pour gérer des formulaires de contact.
Cette extension est affectée par une vulnérabilité libellée CVE-2025-5539, qui résulte d’une mauvaise gestion des entrées fournies par les utilisateurs. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant d’injecter dans les pages web des scripts malveillants, qui seront ensuite exécutés dans le navigateur des utilisateurs. Cela pourrait entraîner le vol de données sensibles, telles que des cookies de sessions etc.
Cette vulnérabilité est classée moyenne avec un score de sévérité de 6.4 selon le CVSS3.1.
IMPACT :
- Atteinte à confidentialité des données ;
- Vol de données sensible ;
- Exécution de code arbitraire.
SYSTÈMES AFFECTÉS :
- Toutes les versions de WP Easy Contact antérieures à la version 4.0.0.
MESURES À PRENDRE :
- Mettre à jour le plugin WP Easy contact vers la dernière version stable ;
- Installer un pare-feu WordPress (wordFence).
RÉFÉRENCES :
