Faille de sécurité dans le plugin WordPress Age Gate : vulnérabilité de type Local File Inclusion (LFI)

Faille de sécurité dans le plugin WordPress Age Gate : vulnérabilité de type Local File Inclusion (LFI)

Le plugin Age Gate pour WordPress, utilisé pour restreindre l’accès aux contenus en fonction de l’âge des visiteurs, est touché par une faille critique permettant l’inclusion de fichiers PHP locaux non authentifiés. Cette vulnérabilité, référencée sous le code CVE-2025-2505, expose les sites à des risques d’exécution de code malveillant.

Dans cet article, nous allons examiner en détail cette faille, comprendre son impact et proposer des solutions pour protéger votre site WordPress.

📢 Besoin d’une solution immédiate ? Protégez votre site dès maintenant avec notre offre de maintenance et sécurité WordPress.

Présentation du plugin Age Gate

Age Gate est un plugin populaire permettant d’ajouter un contrôle d’âge sur un site WordPress. Il est souvent utilisé pour bloquer l’accès à certains contenus réglementés (alcool, jeux d’argent, contenus adultes, etc.).

🔹 Nom du plugin : Age Gate
🔹 Version affectée : 3.5.3 et antérieures
🔹 Nombre d’installations actives : 10 000+
🔹 Développeur : Phil Baker

Bien que ce plugin soit largement utilisé et apprécié pour sa simplicité, une faille de sécurité critique a été découverte dans sa version 3.5.3, exposant les sites à des attaques sérieuses.

Quelle est la nature de la faille CVE-2025-2505 ?

Type de vulnérabilité : Local File Inclusion (LFI)

Cette faille est une inclusion de fichier local (LFI), classée sous la référence CWE-22 (Path Traversal). Elle permet à un attaquant d’accéder et d’exécuter des fichiers PHP présents sur le serveur, sans authentification.

Comment protéger votre site ?

Mettez à jour immédiatement le plugin vers la dernière version corrigée.

Désactivez et supprimez le plugin si vous ne l’utilisez plus.

Restreignez l’accès aux fichiers sensibles via des règles .htaccess :

<FilesMatch "wp-config.php">
Order deny,allow
Deny from all
</FilesMatch>

Activez un pare-feu WordPress (ex. Wordfence, Sucuri) pour bloquer les attaques LFI.

Surveillez les logs de votre serveur pour détecter toute tentative d’exploitation.

Sécurisez votre site avec notre offre de maintenance WordPress

Les failles de sécurité sont fréquentes sur WordPress et peuvent avoir des conséquences désastreuses : perte de données, site piraté, réputation ternie.

Notre offre de maintenance et sécurité WordPress inclut :
✔️ Mises à jour régulières des plugins et thèmes.
✔️ Protection contre les failles de sécurité et attaques.
✔️ Audit de sécurité et surveillance 24/7.
✔️ Sauvegardes automatiques pour éviter toute perte de données.

🔒 Ne prenez aucun risque ! Sécurisez votre site dès aujourd’hui.

📞 Contactez-nous dès maintenant pour une protection optimale !

Vous aimerez aussi lire