CVE-2025-13486

plus petit que 1 minute de lecture

Mis à jour : December 04, 2025

Exécution de Code à Distance dans Advanced Custom Fields: Extended pour WordPress

Une faille de sécurité critique, identifiée sous le code CVE-2025-13486, affecte les versions 0.9.0.5 à 0.9.1.1 du plugin WordPress “Advanced Custom Fields: Extended”. Le problème réside dans le traitement insuffisant des entrées utilisateur par la fonction prepare_form(), qui les transmet à call_user_func_array() sans validation adéquate.

Points Clés :

Type de vulnérabilité : Exécution de Code à Distance (RCE).
Impact : Permet à des attaquants non authentifiés d’injecter et d’exécuter du code PHP arbitraire sur le serveur.
Conséquences potentielles : Installation de portes dérobées (backdoors) ou création de nouveaux comptes administrateurs, menant à une prise de contrôle totale du site web compromis.

Vulnérabilité :

CVE : CVE-2025-13486
Fonction affectée : prepare_form()
Cause : Manque de validation des entrées utilisateur avant leur passage à call_user_func_array().

Recommandations :

Mise à jour : Les utilisateurs du plugin “Advanced Custom Fields: Extended” doivent impérativement mettre à jour vers la version 0.9.2 ou une version ultérieure pour corriger cette vulnérabilité.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-13486

Exécution de Code à Distance dans Advanced Custom Fields: Extended pour WordPress

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast