La Direction Générale de la Sécurité des Systèmes d’Information (DGSSI), relevant du ministère délégué auprès du Chef du gouvernement chargé de l’Administration de la Défense nationale, a publié une alerte concernant une faille de sécurité critique détectée dans le plugin “SureTriggers” utilisé sur la plateforme WordPress, et ce pour les versions antérieures à la version 1.0.79.
Selon le bulletin de sécurité de la DGSSI, cette faille, identifiée sous le code CVE-2025-3102, est classée comme importante tant au niveau du risque que de l’impact. Elle permettrait à un attaquant distant de contourner les mécanismes de sécurité de WordPress et du plugin concerné, de créer un compte avec des privilèges administrateur, et de prendre le contrôle total du site, sans même avoir besoin d’un identifiant ou d’un mot de passe.
L’expert en cybersécurité Hassan Kharjouj a confirmé que « la gravité de cette vulnérabilité réside dans sa facilité d’exploitation, et dans le fait qu’elle ne nécessite aucune interaction de l’utilisateur pour être activée ».
Le plugin “SureTriggers” est largement utilisé pour automatiser des tâches sur WordPress, permettant de connecter plusieurs services populaires comme Google Sheets, Gmail, Slack, Trello, WooCommerce ou encore Zoom, ce qui accroît la portée de cette faille.
La DGSSI recommande aux administrateurs de sites WordPress de prendre immédiatement les mesures suivantes :
Vérifier que la version de SureTriggers installée est la 1.0.79 ou une version ultérieure.
Mettre à jour le plugin immédiatement si une version antérieure est utilisée.
Contrôler la liste des utilisateurs et supprimer tout compte suspect ayant des droits d’administrateur.
Examiner les journaux d’activité (Activity Logs) à la recherche de comportements inhabituels.
Changer les mots de passe, notamment ceux des comptes administrateurs.
Le bulletin complet est disponible sur le site officiel de la DGSSI à l’adresse suivante :
https://www.dgssi.gov.ma/fr/bulletins/vulnerabilite-affectant-le-plugin-suretriggers-pour-wordpress
