WBase de données des vulnérabilités WordPress

Le plugin UsersWP XSS met en danger les sites communautaires (CVE20265742)

Cross Site Scripting (XSS) dans le plugin UsersWP de WordPress
0
Partages
0
0
0
0
Nom du plugin UsersWP
Type de vulnérabilité Script intersite (XSS)
Numéro CVE CVE-2026-5742
Urgence Moyen
Date de publication CVE 2026-04-13
URL source CVE-2026-5742

Urgent : UtilisateursWP XSS stocké (CVE-2026-5742) — Ce que les propriétaires de sites WordPress doivent faire maintenant

Auteur : Expert en sécurité de Hong Kong

Date : 2026-04-13

Étiquettes : WordPress, Sécurité, Vulnérabilité, WAF, UtilisateursWP, XSS

Résumé : Une vulnérabilité de Cross‑Site Scripting (XSS) stockée affectant UtilisateursWP (<= 1.2.60) a été divulguée (CVE-2026-5742). Les utilisateurs authentifiés avec des privilèges d'abonné peuvent injecter des charges utiles dans un champ de lien de badge qui peut être rendu plus tard et exécuté dans le contexte d'autres utilisateurs (y compris les administrateurs) lorsqu'ils visualisent certains éléments de l'interface utilisateur. Mettez à jour vers 1.2.61 immédiatement ou appliquez les étapes d'atténuation et de confinement ci-dessous.

Que s'est-il passé (bref)

  • Composant vulnérable : Plugin UtilisateursWP (versions ≤ 1.2.60).
  • Type de vulnérabilité : Cross‑Site Scripting (XSS) stocké.
  • Vecteur d'attaque : Un utilisateur authentifié (Abonné) peut injecter un contenu conçu dans un champ de lien de badge qui est ensuite rendu et exécuté dans les navigateurs d'autres utilisateurs.
  • Impact : Exécution de JavaScript arbitraire dans les navigateurs des victimes (vol de session, élévation de privilèges, modification silencieuse de contenu, portes dérobées persistantes).
  • Disponibilité du correctif : Corrigé dans UtilisateursWP 1.2.61. Mettez à jour immédiatement si possible.

Pourquoi cela importe aux propriétaires de sites WordPress

  • XSS stocké est persistant : le contenu malveillant est enregistré dans la base de données et servi à plusieurs reprises aux visiteurs et au personnel.
  • Les affichages de profil et de badge sont généralement visibles par les administrateurs et les éditeurs — un utilisateur privilégié visualisant la page peut déclencher involontairement la charge utile.
  • Les attaquants peuvent combiner cela avec l'ingénierie sociale pour augmenter la chance qu'un administrateur ou un éditeur exécute la charge utile.
  • Les sites qui permettent l'enregistrement ouvert ou autorisent les abonnés à modifier les champs de profil sont particulièrement exposés.

Vue d'ensemble technique (comment l'exploitation fonctionne — niveau élevé)

Le problème provient d'un champ de lien de badge qui accepte l'entrée de l'utilisateur, l'enregistre dans la base de données et sort ensuite le contenu en HTML sans une sanitation ou un échappement appropriés. Le flux d'attaque typique :

  1. Un attaquant avec un compte d'abonné insère une charge utile conçue dans un lien de badge (par exemple, un URI javascript:, un HTML