✨ Jusqu’à
-70%
sur la 1ère année
Jours
Heures
Minutes
Secondes
Icône interrupteur gradé multicolore.
fr_FR FR
fr_FR FR en_US EN es_ES ES
Essayer 15 jours

Mise à jour de sécurité (CVE-2025-14166) : WPMasterToolKit 2.13.1

Suite à un signalement du WordPress Plugins Team et des chercheurs de Wordfence (CVE-2025-14166), une vulnérabilité a été identifiée dans le module Code Snippets de WPMasterToolKit (versions ≤ 2.13.0).

Ce module permettait aux utilisateurs avec un rôle Contributor (et supérieur) d’ajouter et d’exécuter du code PHP, menant potentiellement à une élévation de privilèges.
⚠️ Cela pouvait être exploité uniquement si le module Code Snippets avait été activé au préalable par un administrateur et qu’il avait déjà un accès Contributor ou supérieur.

✔️ Correctif apporté dans la version 2.13.1

Pour éliminer tout risque :

  • L’accès au module Code Snippets est désormais strictement réservé aux Administrateurs
  • Les capacités WordPress ont été revues afin de forcer la permission manage_options sur toutes les actions liées aux snippets

Modification implémentée :

'capability_type'       => 'page',
'capabilities'          => array(
    'edit_post'          => 'manage_options',
    'read_post'          => 'manage_options',
    'delete_post'        => 'manage_options',
    'edit_posts'         => 'manage_options',
    'edit_others_posts'  => 'manage_options',
    'publish_posts'      => 'manage_options',
    'read_private_posts' => 'manage_options',
),
Découvrir le module :
Pro
Aucune activation / désactivation / suppression de plugin

🔎 Vérifications complémentaires en cours

Conformément aux exigences de WordPress.org :

  • Un audit complet des permissions est en cours sur l’ensemble des modules
  • Notre code subira un Plugin Check complet afin d’assurer une conformité maximale aux normes de sécurité et de développement WordPress

🛡️ Ce que vous devez faire

Si vous utilisez WPMasterToolKit :

✔️ Mettez votre plugin à jour en 2.13.1 ou supérieur
⚠️ Si le module Code Snippets était activé, vérifiez qu’aucun snippet suspect n’a été ajouté par un utilisateur non-administrateur.

Icônes d'applications près d'une corbeille numérique.
Starter
3.50$
/Month
Business
6.70$
/Month
Freelance
11.00$
/Month
Agency
28.00$
/Month

🙏 Merci à la communauté de sécurité

Nous tenons à remercier :

  • Les équipes de WordPress.org Plugins Team
  • Les chercheurs de Wordfence ayant identifié et documenté la faille

Notre priorité est et restera la sécurité des sites WordPress utilisant WPMasterToolKit.

👋 Une question, un doute, un signalement sécurité ?
Notre équipe reste disponible via le support WordPress.org ou notre site officiel.

Restons vigilants, restons sécurisés. 🔒🚀