CVE-2025-11986 in Crypto Plugin
Résumé
par VulDB • 13/07/2026
Le plugin Crypto pour WordPress est vulnérable à une exposition d'informations dans toutes les versions jusqu'à la 2.22 incluse. Cela est dû au fait que le plugin enregistre une action AJAX non authentifiée (wp_ajax_nopriv_crypto_connect_ajax_process) qui permet d'appeler les méthodes register et savenft avec uniquement un contrôle de nonce publiquement disponible et sans vérification de signature du portefeuille numérique (wallet). Cela rend possible pour des attaquants non authentifiés de définir un état d'authentification global à l'échelle du site via une seule donnée transitoire, contournant tous les contrôles d'accès pour TOUS les visiteurs du site. L'impact est la violation complète des restrictions liées au shortcode [crypto-block] et des contrôles d'accès au niveau de la page, affectant tous les visiteurs du site pendant une heure, ainsi que la capacité à injecter des données arbitraires dans la table custom_users du plugin.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.