WBase de données des vulnérabilités WordPress

Avis de sécurité de Hong Kong Beaver Builder XSS(CVE20261231)

Cross Site Scripting (XSS) dans le plugin WordPress Beaver Builder
0
Partages
0
0
0
0
Nom du plugin Beaver Builder
Type de vulnérabilité Script intersite (XSS)
Numéro CVE CVE-2026-1231
Urgence Faible
Date de publication CVE 2026-02-10
URL source CVE-2026-1231

Urgent : XSS stocké dans Beaver Builder (<= 2.10.0.5) — Ce que les propriétaires de sites doivent faire maintenant

Auteur : Expert en sécurité de Hong Kong | Date : 2026-02-10 | Tags : WordPress, Vulnérabilité, WAF, Beaver Builder, Sécurité, XSS

Résumé : Une vulnérabilité de script intersite stocké (XSS) affectant les versions de Beaver Builder <= 2.10.0.5 (CVE-2026-1231) permet à un utilisateur authentifié malveillant avec un rôle personnalisé d'injecter des charges utiles de script dans les paramètres globaux. La vulnérabilité a été corrigée dans la version 2.10.0.6. Ce post explique le risque, la cause technique sous-jacente en termes simples, les atténuations immédiates, les protections basées sur le serveur et le WAF, les étapes de détection et de réponse aux incidents, et les conseils de durcissement à long terme du point de vue d'un praticien de la sécurité basé à Hong Kong.

TL;DR (Si vous ne lisez qu'une seule chose)

  • Un XSS stocké dans Beaver Builder (<= 2.10.0.5) peut permettre à du JavaScript stocké de s'exécuter dans des contextes administratifs et publics lorsque certains paramètres globaux sont rendus.
  • Correction : mettez à jour Beaver Builder vers 2.10.0.6 immédiatement (ou la prochaine version disponible contenant le correctif).
  • Si vous ne pouvez pas mettre à jour immédiatement, appliquez des atténuations : restreindre l'accès aux paramètres de Beaver Builder, auditer les rôles et capacités personnalisés, et activer le patching virtuel/règles WAF qui bloquent les entrées de type script vers les points de terminaison des paramètres du plugin.
  • Utilisez une approche en couches : patching + principe du moindre privilège + règles WAF/edge + scanning + monitoring.

Que s'est-il passé (langage simple)

Les chercheurs ont découvert que la gestion des paramètres globaux de Beaver Builder permettait aux utilisateurs authentifiés (avec certains rôles personnalisés) de sauvegarder du contenu qui n'était pas correctement autorisé ou assaini. Ce contenu sauvegardé pourrait inclure du HTML/JavaScript qui est ensuite rendu et exécuté dans un navigateur — une vulnérabilité de script intersite stocké (XSS).

En pratique, un attaquant a besoin d'un compte sur votre site avec un rôle capable de modifier les paramètres globaux de Beaver Builder. Si ce compte est trompé pour effectuer une action bénigne (cliquer sur un lien conçu ou visiter une page malveillante), une charge utile peut être stockée et s'exécutera chaque fois qu'un administrateur ou un visiteur charge une page où ces paramètres sont utilisés.

L'auteur du plugin a publié une version corrigée : mettez à jour vers 2.10.0.6 ou une version ultérieure.

Fiche d'information rapide

  • Plugin affecté : Beaver Builder (plugin de création de pages)
  • Versions vulnérables : <= 2.10.0.5
  • Corrigé dans : 2.10.0.6
  • CVE : CVE-2026-1231
  • Type de vulnérabilité : Script intersite stocké (XSS)
  • CVSS (rapporté) : 6.5 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L)
  • Privilège requis : un rôle personnalisé ou un rôle capable de modifier les paramètres globaux de Beaver Builder (non public)
  • L'exploitation nécessite une interaction de l'utilisateur et un compte authentifié avec la capacité pertinente.

Pourquoi cela importe pour votre site

Le XSS stocké est dangereux car un script malveillant enregistré dans les paramètres du site peut affecter :

  • Les administrateurs et les éditeurs de site qui consultent l'écran d'administration (risquant le vol d'identifiants via une interface utilisateur injectée ou des éléments cachés).
  • Les visiteurs du site (si la charge utile stockée est rendue sur des pages publiques), permettant des redirections, le vol de formulaires, la livraison de logiciels malveillants, le spam SEO ou la défiguration.
  • Environnements multi-sites ou d'agence où des contributeurs ou des comptes tiers pourraient se voir accorder un accès élevé.

Bien que l'exploitation nécessite un compte authentifié et une interaction de l'utilisateur, de nombreux sites ont une séparation des rôles faible ou utilisent des entrepreneurs et des plugins tiers qui créent des rôles personnalisés ; cela augmente l'exposition.

Cause racine technique (concise)

  • Des vérifications d'autorisation manquantes ou insuffisantes ont permis la modification des paramètres globaux.
  • Les entrées enregistrées dans ces paramètres n'étaient pas correctement assainies/échappées, permettant un balisage exécutable (par exemple,