Base de données de vulnérabilitésCVE-2025-11154

CVE-2025-11154:
WordPress Analyse et atténuation des vulnérabilités

Aperçu

A vulnerability in the IDonate WordPress plugin versions below 2.1.13 allows unauthenticated attackers to delete arbitrary users from WordPress installations. The vulnerability was assigned CVE-2025-11154 and was publicly disclosed on October 6, 2025. The issue stems from missing authorization and CSRF protections in the user deletion functionality (WPScan).

Détails techniques

The vulnerability exists in the plugin's action handler that processes user deletions. The affected endpoint is wp-admin/admin-ajax.php which accepts POST requests with the action parameter 'pandingdonoraction' and target parameter 'delete'. Due to missing access controls, any unauthenticated user can send requests to delete arbitrary users by specifying their User ID. The vulnerability has been assigned a CVSS score of 8.2 (High) and is classified as CWE-862 (Missing Authorization). The issue falls under the OWASP Top 10 category A5: Broken Access Control (WPScan).

Impact

A successful exploitation of this vulnerability allows unauthenticated attackers to delete any user account from the WordPress installation, including administrative users. This could lead to denial of service, loss of access for legitimate users, and potential disruption of website operations (WPScan).

Atténuation et solutions de contournement

The vulnerability has been fixed in IDonate version 2.1.13. Site administrators are strongly advised to update to this version or later to protect against unauthorized user deletion attacks (WPScan).

Ressources additionnelles

WPScan

Source: Ce rapport a été généré à l’aide de l’IA

Apparenté WordPress Vulnérabilités:

Identifiant CVE	Sévérité	Score	Technologies	Nom du composant	Exploit CISA KEV	A corrigé	Date de publication
CVE-2025-10145	HIGH	7.7	WordPress	auto-post-thumbnail	Non	Oui	Oct 28, 2025
CVE-2025-11735	HIGH	7.5	WordPress	woocommerce-products-filter	Non	Oui	Oct 28, 2025
CVE-2025-11705	MEDIUM	6.5	WordPress	gotmls	Non	Oui	Oct 29, 2025
CVE-2025-11154	MEDIUM	5.4	WordPress	idonate	Non	Oui	Oct 27, 2025
CVE-2025-9544	N/A	N/A	WordPress	doppler-form	Non	Oui	Oct 29, 2025

Évaluation gratuite des vulnérabilités

Évaluez votre posture de sécurité dans le cloud

Évaluez vos pratiques de sécurité cloud dans 9 domaines de sécurité pour évaluer votre niveau de risque et identifier les failles dans vos défenses.

Demander une évaluation

Ressources Wiz supplémentaires

PEACH

Un cadre d’isolation des locataires

Obtenez une démo personnalisée

Prêt(e) à voir Wiz en action ?

"La meilleure expérience utilisateur que j’ai jamais vue, offre une visibilité totale sur les workloads cloud."

David EstlickRSSI

"Wiz fournit une interface unique pour voir ce qui se passe dans nos environnements cloud."

Adam FletcherChef du service de sécurité

"Nous savons que si Wiz identifie quelque chose comme critique, c’est qu’il l’est réellement."

Greg PoniatowskiResponsable de la gestion des menaces et des vulnérabilités

Demander une démo

CVE-2025-11154: WordPress Analyse et atténuation des vulnérabilités