decioNov 4

⚠️ Theme JobMonster (WordPress) : faille critique de contournement d’authentification exploitée, correctif en 4.8.2

BleepingComputer rapporte que des pirates exploitent activement une vulnérabilité critique dans le thème WordPress premium JobMonster (NooThemes), observée par Wordfence qui a bloqué de multiples tentatives au cours des dernières 24 heures.

Vulnérabilité: CVE-2025-5397 (score de sévérité 9,8) est un contournement d’authentification affectant toutes les versions jusqu’à 4.8.1. Le problème provient de la fonction check_login() qui ne vérifie pas correctement l’identité de l’utilisateur avant l’authentification. Le correctif est disponible en version 4.8.2.

🧩 Conditions et impact: L’exploitation nécessite que la connexion sociale (social login) soit activée sur le site. Dans ce cas, JobMonster fait confiance aux données d’authentification externes sans les valider correctement, permettant à un attaquant non authentifié de prendre le contrôle de comptes administrateur. Un attaquant doit généralement connaître le nom d’utilisateur ou l’email de l’administrateur ciblé.

https://infosec.pub/post/37154192

Source
"Hackers exploit critical auth bypass flaw in JobMonster WordPress theme"
👇
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-auth-bypass-flaw-in-jobmonster-wordpress-theme/

#CyberVeille #Wordpress #CVE_2025_5397

[VULN] JobMonster (WordPress) : faille critique de contournement d’authentification exploitée, correctif en 4.8.2 - Infosec.Pub

BleepingComputer rapporte que des pirates exploitent activement une vulnérabilité critique dans le thème WordPress premium JobMonster (NooThemes), observée par Wordfence qui a bloqué de multiples tentatives au cours des dernières 24 heures. ⚠️ Vulnérabilité: CVE-2025-5397 (score de sévérité 9,8) est un contournement d’authentification affectant toutes les versions jusqu’à 4.8.1. Le problème provient de la fonction check_login() qui ne vérifie pas correctement l’identité de l’utilisateur avant l’authentification. Le correctif est disponible en version 4.8.2. 🧩 Conditions et impact: L’exploitation nécessite que la connexion sociale (social login) soit activée sur le site. Dans ce cas, JobMonster fait confiance aux données d’authentification externes sans les valider correctement, permettant à un attaquant non authentifié de prendre le contrôle de comptes administrateur. Un attaquant doit généralement connaître le nom d’utilisateur ou l’email de l’administrateur ciblé.

CyberVeille.chNov 4
📢 JobMonster (WordPress) : faille critique de contournement d’authentification exploitée, correctif en 4.8.2
📝 BleepingComputer rapporte que des pir...
📖 cyberveille : https://cyberveille.ch/posts/2025-11-04-jobmonster-wordpress-faille-critique-de-contournement-dauthentification-exploitee-correctif-en-4-8-2/
🌐 source : https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-auth-bypass-flaw-in-jobmonster-wordpress-theme/
#CVE_2025_5397 #JobMonster #Cyberveille
JobMonster (WordPress) : faille critique de contournement d’authentification exploitée, correctif en 4.8.2

BleepingComputer rapporte que des pirates exploitent activement une vulnérabilité critique dans le thème WordPress premium JobMonster (NooThemes), observée par Wordfence qui a bloqué de multiples tentatives au cours des dernières 24 heures. ⚠️ Vulnérabilité: CVE-2025-5397 (score de sévérité 9,8) est un contournement d’authentification affectant toutes les versions jusqu’à 4.8.1. Le problème provient de la fonction check_login() qui ne vérifie pas correctement l’identité de l’utilisateur avant l’authentification. Le correctif est disponible en version 4.8.2.

CyberVeille