WBase de données des vulnérabilités WordPress

Alerte Communautaire XSS dans le Plugin de Changement de Langue (CVE20260735)

Cross Site Scripting (XSS) dans le plugin de changement de langue utilisateur WordPress
0
Partages
0
0
0
0
Nom du plugin Plugin de changement de langue utilisateur WordPress
Type de vulnérabilité Script intersite (XSS)
Numéro CVE CVE-2026-0735
Urgence Faible
Date de publication CVE 2026-02-15
URL source CVE-2026-0735

CVE-2026-0735 : Ce que les propriétaires de sites WordPress doivent savoir sur le XSS stocké du changement de langue utilisateur

Auteur : Expert en sécurité de Hong Kong

Date : 2026-02-14

Résumé court : Une vulnérabilité de Cross-Site Scripting (XSS) stockée (CVE-2026-0735) a été divulguée dans le plugin WordPress “User Language Switch” affectant les versions <= 1.6.10. Le défaut permet à un administrateur authentifié de stocker du HTML/JavaScript malveillant via le tab_color_picker_language_switch paramètre. Bien que l'exploitation nécessite des privilèges d'administrateur et une interaction utilisateur, les conséquences peuvent inclure le vol de session, la compromission du compte administrateur et la défiguration du site. Cet article explique le risque, les scénarios d'attaque réalistes, les étapes de détection et de mitigation, ainsi que les options de périmètre que vous pouvez appliquer immédiatement.

TL;DR (pour les propriétaires de sites occupés)

  • Vulnérabilité : XSS stocké dans le plugin Changement de langue utilisateur (<= 1.6.10) — CVE-2026-0735.
  • Privilège requis pour injecter : Administrateur.
  • Impact : XSS stocké — la charge utile est sauvegardée et exécutée dans le contexte du navigateur des utilisateurs qui visualisent le contenu (peut inclure d'autres administrateurs). Potentiel de compromission de compte et d'exécution persistante de scripts au niveau du site.
  • Gravité : Moyenne (CVSS 5.9) — interaction utilisateur requise mais l'impact peut être significatif sur les sites multi-administrateurs.
  • Actions immédiates à considérer :
    1. Restreindre l'accès administratif pendant que vous évaluez.
    2. Rechercher et assainir les paramètres/champs de base de données affectés (voir les étapes de détection).
    3. Appliquer un patch virtuel au périmètre (WAF) si disponible.
    4. Mettre à jour le plugin lorsque un correctif du fournisseur est publié ; si aucun n'est disponible, envisager de désactiver/retirer le plugin.
    5. Faire tourner les identifiants et examiner les sessions administratives si une activité suspecte est trouvée.

Contexte : Que s'est-il passé

Des chercheurs en sécurité ont divulgué un problème de Cross-Site Scripting (XSS) stocké dans le plugin WordPress “User Language Switch” (versions <= 1.6.10). Le paramètre vulnérable est tab_color_picker_language_switch. Lorsque un administrateur soumet une valeur conçue pour ce paramètre, le plugin peut la stocker sans suffisamment d'assainissement/échappement et la sortir plus tard dans des pages où le navigateur d'un visiteur l'interprétera. Comme l'entrée est persistante, un attaquant avec un accès administrateur peut injecter un script qui s'exécute lorsque d'autres utilisateurs — y compris d'autres administrateurs — visualisent la page affectée.

La vulnérabilité est suivie sous le nom de CVE-2026-0735. Bien que des privilèges d'administrateur soient nécessaires pour injecter des charges utiles, le XSS stocké dans les zones accessibles aux administrateurs reste un vecteur de haute valeur que les attaquants exploitent pour escalader l'accès ou maintenir la persistance.

Pourquoi cela importe — impact dans le monde réel

Le XSS stocké dans les paramètres du plugin n'est pas simplement théorique :

  • Exécution persistante : La charge utile est stockée dans la base de données et s'exécutera pour tout utilisateur qui charge l'écran d'administration affecté ou la vue frontend.
  • Escalade admin-à-admin : Un attaquant ayant accès à l'administration peut cibler d'autres administrateurs, voler des cookies de session, exfiltrer des jetons CSRF ou effectuer des actions en tant que victime.
  • Risque de chaîne d'approvisionnement : Les sessions administratives compromises peuvent conduire à des installations de plugins/thèmes, à des injections de code, à des portes dérobées ou à des manipulations de base de données.
  • Persistance discrète : Les charges utiles peuvent être mises en veille et activées plus tard ou sous des conditions spécifiques, rendant la détection plus difficile.

Étant donné que l'accès administrateur est requis pour l'injection, protéger les comptes administratifs (2FA, privilège minimal, audits réguliers) et appliquer des atténuations de périmètre sont des contrôles clés.

Qui est à risque ?

  • Les sites exécutant la version 1.6.10 ou antérieure du plugin “User Language Switch” avec au moins un administrateur capable de modifier les paramètres du plugin.
  • Instances WordPress multisite où les administrateurs peuvent modifier les paramètres du plugin.
  • Agences ou hébergeurs gérant plusieurs sites clients où les identifiants administratifs sont partagés sans contrôles de privilège minimal.

Si votre site n'utilise pas ce plugin, vous n'êtes pas directement affecté par ce CVE — mais les conseils de détection et d'atténuation ci-dessous restent généralement applicables pour les incidents XSS stockés.

Comment une attaque pourrait se dérouler (scénario)

  1. Un attaquant obtient des identifiants administratifs ou l'accès à un compte administrateur (phishing, réutilisation d'identifiants, station de travail compromise).
  2. L'attaquant ouvre les paramètres du plugin et définit le tab_color_picker_language_switch paramètre sur une charge utile contenant une chaîne capable d'XSS (par exemple, des gestionnaires d'événements ou des balises script).
  3. Le plugin stocke la valeur dans la base de données.
  4. Lorsque un autre administrateur visite la page de paramètres affectée ou toute vue frontend/admin qui affiche la valeur stockée, le script injecté s'exécute dans le navigateur de la victime.
  5. Le script exfiltre le cookie d'authentification ou le nonce de la victime vers l'attaquant ou effectue des actions en utilisant la session de la victime.
  6. Avec une session volée, l'attaquant prend le contrôle de la session admin et peut installer des portes dérobées, modifier du contenu ou escalader la persistance.

Remarque : L'accès initial à l'administration est souvent le maillon le plus faible. Protégez les points de terminaison administratifs et le comportement des utilisateurs pour réduire le risque.

Détecter si votre site a été impacté

Faites une sauvegarde complète des fichiers et de la base de données avant de modifier quoi que ce soit. Ensuite, suivez des étapes de détection précises :

  1. Vérification de la version du plugin

    • Dans l'administration WordPress → Plugins, confirmez la version installée de “User Language Switch”.
    • Via WP-CLI : 
      wp plugin list --format=csv | grep user-language-switch
    • Si la version <= 1.6.10, considérez le plugin comme vulnérable.
  2. Recherchez le paramètre dans la base de données

    • De nombreux plugins stockent les paramètres dans wp_options. Exemples de requêtes WP-CLI/MySQL : 
      wp db query "SELECT option_name, option_value FROM wp_options WHERE option_value LIKE '%tab_color_picker_language_switch%' LIMIT 100;";
    • Vérifiez également les articles et les métadonnées des utilisateurs : 
      wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%tab_color_picker_language_switch%' LIMIT 100;"
  3. Recherchez des chaînes suspectes

    Recherchez des valeurs correspondantes pour