| Nom du plugin | Prisna GWT – Traducteur de site Web Google |
|---|---|
| Type de vulnérabilité | Script intersite (XSS) |
| Numéro CVE | CVE-2024-12680 |
| Urgence | Faible |
| Date de publication CVE | 2026-01-30 |
| URL source | CVE-2024-12680 |
CVE-2024-12680 : XSS stocké administrateur dans Prisna GWT – Google Website Translator (≤ 1.4.13) — Ce que les propriétaires de sites WordPress doivent savoir
Auteur : Expert en sécurité de Hong Kong · Date : 2026-01-30
TL;DR — Une vulnérabilité de Cross‑Site Scripting (XSS) stockée (CVE‑2024‑12680) affecte les versions du plugin Prisna GWT – Google Website Translator antérieures à 1.4.14. L'exploitation nécessite qu'un administrateur authentifié interagisse (interaction utilisateur requise) mais peut entraîner l'exécution de scripts dans le contexte administrateur. Mettez à jour vers 1.4.14 immédiatement, auditez la base de données pour des scripts injectés et appliquez des atténuations temporaires, y compris des règles WAF et le renforcement des comptes administrateurs.
Aperçu
Le 30 janvier 2026, une vulnérabilité de type Cross‑Site Scripting (XSS) stockée affectant le plugin WordPress “Prisna GWT – Google Website Translator” (versions < 1.4.14) a été publiée et a reçu l'identifiant CVE‑2024‑12680. La vulnérabilité est classée comme un “Admin+ Stored XSS” — ce qui signifie qu'un compte privilégié (administrateur) peut être ciblé, et un payload malveillant enregistré dans les données du plugin s'exécutera dans le navigateur lorsque certaines pages d'administration ou éléments d'interface utilisateur sont consultés ou interagis.
Bien que la gravité de base de la vulnérabilité soit modérée (CVSS 5.9), le risque pratique est limité par les privilèges requis et l'interaction de l'utilisateur. Cependant, le XSS stocké côté admin peut permettre des actions post-exploitation telles que :
- Injection de JavaScript administratif pour faciliter la persistance (par exemple, changer les options du site ou introduire des portes dérobées)
- Vol de cookies ou de jetons d'authentification des administrateurs (prise de session)
- Déclenchement d'attaques automatisées supplémentaires ou mouvement latéral lorsqu'il est enchaîné avec d'autres failles
- Injection d'éléments d'interface utilisateur administratifs malveillants pour hameçonner des identifiants ou introduire des redirections malveillantes
Ce guide explique le problème, les étapes de détection sécurisée, les options d'atténuation et les conseils de récupération du point de vue d'un praticien de la sécurité à Hong Kong.
Qu'est-ce qu'un “Admin Stored XSS” exactement ?
Le XSS stocké se produit lorsque des données fournies par l'utilisateur sont stockées sur le serveur et ensuite rendues aux utilisateurs sans une sanitation ou un encodage appropriés. Dans un cas de “Admin Stored XSS” :
- Le payload est stocké dans les options du plugin, les paramètres administratifs ou d'autres stockages côté serveur par un attaquant (ou un compte administrateur compromis).
- Lorsque qu'un autre administrateur (ou le même administrateur effectuant une tâche de routine) ouvre une page d'administration du plugin, le script stocké s'exécute dans le contexte de son navigateur.
- Parce que cela s'exécute dans le navigateur de l'administrateur et avec les privilèges de cet utilisateur, cela peut effectuer toute action que l'utilisateur peut effectuer via l'interface utilisateur — y compris changer des paramètres, éditer des fichiers de thème/plugin, créer de nouveaux utilisateurs, etc.
Dans ce rapport, le plugin accepte une entrée administrateur qui n'a pas été suffisamment nettoyée ou échappée avant d'être affichée dans l'interface utilisateur administrateur.
Portée et versions affectées
- Plugin affecté : Prisna GWT – Google Website Translator
- Versions affectées : toute version antérieure à 1.4.14 (< 1.4.14)
- Corrigé dans : 1.4.14
- CVE : CVE‑2024‑12680
- Privilège requis : Administrateur
- Interaction utilisateur : Requise (l'administrateur doit visualiser/cliquez sur une page ou un lien conçu)
- Catégorie OWASP : A3 — Injection (Cross‑Site Scripting)
- Priorité du correctif : Faible (mais le déploiement est tout de même recommandé dès que possible)
Pourquoi vous devriez toujours vous en soucier (même si cela nécessite un accès administrateur)
De nombreuses compromissions de sites commencent par le vol de credentials administratives ou l'ingénierie sociale. Les attaquants peuvent obtenir des credentials administratives par le phishing, des mots de passe réutilisés ou des outils de développement compromis. Le XSS stocké dans l'interface utilisateur admin est attrayant car il permet aux attaquants de :
- Transformer une seule session admin compromise en contrôle persistant par injection de code ou modifications de configuration
- Contourner les protections côté serveur en manipulant le navigateur de l'administrateur (persistance côté client)
- Utiliser l'ingénierie sociale pour tromper un administrateur afin qu'il charge une URL conçue ou ouvre une page de paramètres spécifique
Par conséquent, malgré l'exigence de privilège, les impacts en aval peuvent être graves.
Flux d'exploitation de haut niveau (non exploitable)
Remarque : Aucun code d'exploitation ou instructions de mise en œuvre étape par étape ne sont fournies.
- Un utilisateur privilégié est trompé pour visiter une URL admin conçue ou interagir avec un formulaire d'entrée malveillant.
- L'attaquant utilise les paramètres du plugin ou des champs d'options pour stocker une charge utile contenant du JavaScript.
- Lorsque l'administrateur ouvre la page d'administration du plugin concerné, le navigateur exécute le script stocké.
- Le script agit dans le contexte de la session authentifiée de l'administrateur — changeant des options, ajoutant des utilisateurs, exfiltrant des jetons, etc.
La remédiation immédiate consiste à supprimer le chemin de sortie vulnérable ou à mettre à jour le plugin corrigé.
Actions immédiates (que faire maintenant)
Si vous gérez des sites WordPress avec ce plugin installé, prenez ces mesures immédiatement :
- Mettez à jour immédiatement
- Mettez à jour le plugin vers la version 1.4.14 (ou ultérieure) dans les environnements de production, de staging et de développement dès que possible.
- Si les mises à jour automatiques ne sont pas activées, planifiez la mise à jour et centralisez les mises à jour lorsque cela est possible.
- Si vous ne pouvez pas mettre à jour immédiatement, désactivez le plugin
- Désactivez temporairement le plugin jusqu'à ce qu'il puisse être mis à jour. Cela supprime la sortie de l'interface utilisateur admin vulnérable où les charges utiles stockées peuvent s'exécuter.
- Auditez les comptes et les sessions administrateurs.
- Forcez une réinitialisation de mot de passe pour tous les comptes administrateurs.
- Invalidez toutes les sessions actives (utilisez des outils de gestion de session ou WP‑CLI lorsque cela est disponible).
- Activez l'authentification à deux facteurs (2FA) pour tous les administrateurs.
- Scannez à la recherche de contenu de script injecté.
- Recherchez dans la base de données des chaînes suspectes couramment associées au XSS :
- Check plugin-specific options (wp_options rows with option_name matching the plugin’s keys), plus post_meta and term_meta areas the plugin may use.
- Run searches on a staging copy to avoid accidental changes to production data.
- Recherchez dans la base de données des chaînes suspectes couramment associées au XSS :
- Use a Web Application Firewall (WAF) to create temporary protections
- Add WAF rules to block admin POST requests that contain script tags or dangerous attributes.
- Block requests with javascript: URIs or encoded script sequences (e.g. %3Cscript).
- Prevent unauthenticated or low‑privilege users from accessing sensitive admin endpoints.
- Review and clean any detected injections
- If you find injected scripts in the database, remove them carefully.
- Consider restoring from a clean backup if you cannot confidently remove all malicious entries.
- Rotate API keys and credentials stored in options after cleaning.
Detection: how to find signs of exploitation
Look for the following indicators:
