Les acteurs de la menace ciblent une vulnérabilité critique dans le thème WordPress JobMonster qui permet le détournement de comptes d’administrateur sous certaines conditions.
L’activité malveillante a été détectée par Wordfence, une société de sécurité WordPress, après avoir bloqué plusieurs tentatives d’exploitation contre ses clients au cours des dernières 24 heures.
JobMonster, créé par NooThemes, est un thème WordPress premium utilisé par les sites d’offres d’emploi, les portails de recrutement/embauche, les outils de recherche de candidats, etc. Le thème a plus de 5 500 ventes sur Envato.
La vulnérabilité exploitée est identifiée comme CVE-2025-5397 et a un score de gravité critique de 9,8. C’est un problème de contournement d’authentification qui affecte toutes les versions du thème jusqu’à 4.8.1.
« [ La faille] est due au fait que la fonction check_login () ne vérifie pas correctement l’identité d’un utilisateur avant de l’authentifier avec succès”, lit-on dans la description de la faille.
« Cela permet aux attaquants non authentifiés de contourner l’authentification standard et d’accéder aux comptes d’utilisateurs administratifs.”
Pour exploiter CVE-2025-5397, la connexion sociale doit être activée sur les sites utilisant le thème; sinon, il n’y a aucun impact.
La connexion sociale est une fonctionnalité qui permet aux utilisateurs de se connecter à un site Web en utilisant leurs comptes de médias sociaux existants, tels que “Se connecter avec Google”, “Se connecter avec Facebook” et “Continuer avec LinkedIn ».”
JobMonster fait confiance aux données de connexion externes sans les vérifier correctement, ce qui permet aux attaquants de simuler un accès administrateur sans détenir d’informations d’identification valides.
En règle générale, un attaquant aurait également besoin de connaître le nom d’utilisateur ou l’adresse e-mail du compte de l’administrateur cible.
CVE-2025-5397 a été corrigé dans la version 4.8.2 de JobMonster, actuellement la plus récente, il est donc conseillé aux utilisateurs de passer immédiatement à la version corrigée.
Si une action urgente est impossible, envisagez de désactiver la fonction de connexion sociale sur les sites Web concernés.
Il est également conseillé d’activer l’authentification à deux facteurs pour tous les comptes d’administrateur, de faire pivoter les informations d’identification et de vérifier les journaux d’accès pour détecter toute activité suspecte.
Les thèmes WordPress ont été à l’épicentre des activités malveillantes ces derniers mois.
La semaine dernière, Wordfence a signalé une activité malveillante ciblant le thème premium Freeio en tirant parti de CVE-2025-11533, une faille critique d’escalade de privilèges.
Début octobre, les auteurs de menaces ont ciblé CVE-2025-5947, un problème critique de contournement d’authentification dans le thème WordPress Service Finder, leur permettant de se connecter en tant qu’administrateurs.
En juillet 2025, il a été signalé que des pirates informatiques avaient ciblé le thème WordPress « Seul » pour exécuter du code à distance et effectuer une prise de contrôle complète du site, Wordfence bloquant plus de 120 000 tentatives à l’époque.
Les plugins et thèmes WordPress doivent être mis à jour régulièrement pour garantir que les derniers correctifs de sécurité sont actifs sur les sites. Le report des correctifs donne aux acteurs de la menace des opportunités d’attaques réussies, parfois un an plus tard.