WBase de données des vulnérabilités WordPress

Avis de sécurité de Hong Kong Beaver Builder XSS(CVE20261231)

Cross Site Scripting (XSS) dans le plugin WordPress Beaver Builder
0
Partages
0
0
0
0
Nom du plugin Beaver Builder
Type de vulnérabilité Script intersite (XSS)
Numéro CVE CVE-2026-1231
Urgence Faible
Date de publication CVE 2026-02-10
URL source CVE-2026-1231

Urgent : XSS stocké dans Beaver Builder (<= 2.10.0.5) — Ce que les propriétaires de sites doivent faire maintenant

Auteur : Expert en sécurité de Hong Kong | Date : 2026-02-10 | Tags : WordPress, Vulnérabilité, WAF, Beaver Builder, Sécurité, XSS

Summary: A stored cross-site scripting (XSS) vulnerability affecting Beaver Builder versions <= 2.10.0.5 (CVE-2026-1231) allows a malicious authenticated user with a custom role to inject script payloads into global settings. The vulnerability has been fixed in version 2.10.0.6. This post explains the risk, the technical root cause in plain terms, immediate mitigations, server and WAF-based protections, detection and incident response steps, and long-term hardening guidance from the perspective of a Hong Kong-based security practitioner.

TL;DR (Si vous ne lisez qu'une seule chose)

  • A stored XSS in Beaver Builder (<= 2.10.0.5) can allow stored JavaScript to execute in admin and public contexts when certain global settings are rendered.
  • Correction : mettez à jour Beaver Builder vers 2.10.0.6 immédiatement (ou la prochaine version disponible contenant le correctif).
  • Si vous ne pouvez pas mettre à jour immédiatement, appliquez des atténuations : restreindre l'accès aux paramètres de Beaver Builder, auditer les rôles et capacités personnalisés, et activer le patching virtuel/règles WAF qui bloquent les entrées de type script vers les points de terminaison des paramètres du plugin.
  • Utilisez une approche en couches : patching + principe du moindre privilège + règles WAF/edge + scanning + monitoring.

Que s'est-il passé (langage simple)

Les chercheurs ont découvert que la gestion des paramètres globaux de Beaver Builder permettait aux utilisateurs authentifiés (avec certains rôles personnalisés) de sauvegarder du contenu qui n'était pas correctement autorisé ou assaini. Ce contenu sauvegardé pourrait inclure du HTML/JavaScript qui est ensuite rendu et exécuté dans un navigateur — une vulnérabilité de script intersite stocké (XSS).

En pratique, un attaquant a besoin d'un compte sur votre site avec un rôle capable de modifier les paramètres globaux de Beaver Builder. Si ce compte est trompé pour effectuer une action bénigne (cliquer sur un lien conçu ou visiter une page malveillante), une charge utile peut être stockée et s'exécutera chaque fois qu'un administrateur ou un visiteur charge une page où ces paramètres sont utilisés.

L'auteur du plugin a publié une version corrigée : mettez à jour vers 2.10.0.6 ou une version ultérieure.

Fiche d'information rapide

  • Plugin affecté : Beaver Builder (plugin de création de pages)
  • Versions vulnérables : <= 2.10.0.5
  • Corrigé dans : 2.10.0.6
  • CVE : CVE-2026-1231
  • Type de vulnérabilité : Script intersite stocké (XSS)
  • CVSS (rapporté) : 6.5 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L)
  • Privilège requis : un rôle personnalisé ou un rôle capable de modifier les paramètres globaux de Beaver Builder (non public)
  • L'exploitation nécessite une interaction de l'utilisateur et un compte authentifié avec la capacité pertinente.

Pourquoi cela importe pour votre site

Le XSS stocké est dangereux car un script malveillant enregistré dans les paramètres du site peut affecter :

  • Les administrateurs et les éditeurs de site qui consultent l'écran d'administration (risquant le vol d'identifiants via une interface utilisateur injectée ou des éléments cachés).
  • Les visiteurs du site (si la charge utile stockée est rendue sur des pages publiques), permettant des redirections, le vol de formulaires, la livraison de logiciels malveillants, le spam SEO ou la défiguration.
  • Environnements multi-sites ou d'agence où des contributeurs ou des comptes tiers pourraient se voir accorder un accès élevé.

Bien que l'exploitation nécessite un compte authentifié et une interaction de l'utilisateur, de nombreux sites ont une séparation des rôles faible ou utilisent des entrepreneurs et des plugins tiers qui créent des rôles personnalisés ; cela augmente l'exposition.

Cause racine technique (concise)

  • Des vérifications d'autorisation manquantes ou insuffisantes ont permis la modification des paramètres globaux.
  • Inputs saved into those settings were not properly sanitised/escaped, allowing executable markup (for example,