| Identifiant CVE | CVE-2025-4337 |
|---|---|
| Type | Cross-Site Request Forgery (CSRF) |
| Composant affecté | Plugin WordPress AHAthat |
| Vecteur CVSS | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
| Score CVSS | 4.3 — Medium |
| Découverte par | Seckhmet |
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été identifiée dans le plugin WordPress AHAthat. Cette faille permet à un attaquant non authentifié de déclencher des actions non autorisées au nom d'un utilisateur légitime, en l'incitant à visiter une page malveillante ou à cliquer sur un lien piégé.
Le vecteur d'attaque est réseau (AV:N), ne requiert aucun privilège (PR:N) mais nécessite une interaction utilisateur (UI:R). L'impact se situe au niveau de l'intégrité (I:L) sans affecter la confidentialité ni la disponibilité.
Mettre à jour le plugin AHAthat vers la version corrigée dès que disponible. En attendant, désactiver le plugin ou restreindre l'accès aux fonctionnalités concernées. Implémenter des tokens CSRF sur toutes les actions sensibles côté développeur.