BleepingComputer rapporte que des pirates exploitent activement une vulnérabilité critique dans le thème WordPress premium JobMonster (NooThemes), observée par Wordfence qui a bloqué de multiples tentatives au cours des dernières 24 heures.

⚠️ Vulnérabilité: CVE-2025-5397 (score de sévérité 9,8) est un contournement d’authentification affectant toutes les versions jusqu’à 4.8.1. Le problème provient de la fonction check_login() qui ne vérifie pas correctement l’identité de l’utilisateur avant l’authentification. Le correctif est disponible en version 4.8.2.

🧩 Conditions et impact: L’exploitation nécessite que la connexion sociale (social login) soit activée sur le site. Dans ce cas, JobMonster fait confiance aux données d’authentification externes sans les valider correctement, permettant à un attaquant non authentifié de prendre le contrôle de comptes administrateur. Un attaquant doit généralement connaître le nom d’utilisateur ou l’email de l’administrateur ciblé.

🛰️ Contexte et détection: Wordfence indique avoir observé et bloqué de multiples tentatives d’exploitation récemment. JobMonster est un thème premium utilisé par des sites d’offres d’emploi et de recrutement, avec plus de 5 500 ventes sur Envato.

📌 Mesures mentionnées: Les utilisateurs sont invités à mettre à jour vers 4.8.2. À défaut, il est recommandé de désactiver le social login. Il est aussi conseillé d’activer la 2FA pour les comptes administrateurs, de rotater les identifiants et de vérifier les journaux d’accès.

🔎 Tendance plus large: D’autres thèmes WordPress premium ont été ciblés récemment, dont Freeio (CVE-2025-11533, élévation de privilèges), Service Finder (CVE-2025-5947, contournement d’authentification) et Alone (exécution de code à distance), avec des campagnes bloquées par Wordfence.

  • IOCs: non communiqués dans l’article.
  • TTPs observés/décrits:
    • Contournement d’authentification via social login mal validé
    • Détournement de comptes administrateur sans identifiants valides
    • Nécessité de connaître le username/email de l’admin ciblé
    • Ciblage de thèmes WordPress premium et exploitation active

Il s’agit d’un article de presse spécialisé visant à informer sur une vulnérabilité en cours d’exploitation, ses conditions, et la disponibilité d’un correctif.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-auth-bypass-flaw-in-jobmonster-wordpress-theme/