CVE-2025-11986 in Crypto Plugininformation

Résumé

par VulDB • 13/07/2026

Le plugin Crypto pour WordPress est vulnérable à une exposition d'informations dans toutes les versions jusqu'à la 2.22 incluse. Cela est dû au fait que le plugin enregistre une action AJAX non authentifiée (wp_ajax_nopriv_crypto_connect_ajax_process) qui permet d'appeler les méthodes register et savenft avec uniquement un contrôle de nonce publiquement disponible et sans vérification de signature du portefeuille numérique (wallet). Cela rend possible pour des attaquants non authentifiés de définir un état d'authentification global à l'échelle du site via une seule donnée transitoire, contournant tous les contrôles d'accès pour TOUS les visiteurs du site. L'impact est la violation complète des restrictions liées au shortcode [crypto-block] et des contrôles d'accès au niveau de la page, affectant tous les visiteurs du site pendant une heure, ainsi que la capacité à injecter des données arbitraires dans la table custom_users du plugin.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Divulgation

11/11/2025

Modérer

accepté

Entrée

VDB-331700

CPE

prêt

EPSS

0.00362

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!