CVE-2025-67968
Mis à jour :
Risque d’exécution de code arbitraire via le plugin Real Homes CRM
Une faille de sécurité critique, identifiée sous le nom de CVE-2025-67968, a été découverte dans le plugin Real Homes CRM pour WordPress. Cette vulnérabilité, classifiée comme un “Téléchargement sans restriction de fichier de type dangereux” (CWE-434), permet à tout utilisateur authentifié, y compris ceux ayant des privilèges d’abonné, de télécharger des fichiers malveillants comme des web shells PHP.
Cette faille exploite une validation insuffisante des types de fichiers lors des opérations de téléchargement au sein du plugin. L’exploitation réussie peut mener à l’exécution de code non autorisé sur le serveur, entraînant potentiellement une compromission totale de l’installation WordPress affectée. Les versions du plugin Real Homes CRM jusqu’à la version 1.0.0 incluse sont concernées, impactant un nombre conséquent de sites web actifs utilisant le thème Real Homes.
Points clés :
- Identification de la vulnérabilité : CVE-2025-67968
- Type de vulnérabilité : Téléchargement sans restriction de fichier de type dangereux (CWE-434)
- Produit affecté : Plugin Real Homes CRM pour WordPress
- Versions affectées : Jusqu’à et incluant la version 1.0.0
- Impact : Exécution de code arbitraire, compromission du serveur.
- Acteurs possibles : Tout utilisateur authentifié, même avec des privilèges d’abonné.
Vulnérabilités identifiées :
- CVE-2025-67968 : “Unrestricted Upload of File with Dangerous Type” (CWE-434)
Recommandations :
- Il est fortement recommandé de mettre à jour le plugin Real Homes CRM vers une version corrigée dès que disponible. (L’article ne précise pas la version corrigée, mais la mise à jour est la mesure principale).