WBase de données des vulnérabilités WordPress

Alerte communautaire Cross Site Scripting dans Collectchat (CVE20260736)

Cross Site Scripting (XSS) dans le plugin collectchat de WordPress
0
Partages
0
0
0
0
Nom du plugin collectchat
Type de vulnérabilité XSS
Numéro CVE CVE-2026-0736
Urgence Moyen
Date de publication CVE 2026-02-13
URL source CVE-2026-0736

Urgent : Ce que signifie le XSS stocké Collectchat (CVE-2026-0736) pour votre site WordPress

Date : 2026-02-13   |   Auteur : Expert en sécurité de Hong Kong

Résumé

Une vulnérabilité de Cross-Site Scripting stockée (CVE-2026-0736) affectant le plugin WordPress collectchat (versions ≤ 2.4.8) a été divulguée. Un utilisateur authentifié avec des privilèges de contributeur peut stocker du JavaScript malveillant dans un champ méta de post qui peut s'exécuter plus tard dans le contexte d'un administrateur ou d'un visiteur du frontend. Bien que la gravité divulguée soit décrite comme faible et nécessite une interaction d'utilisateur authentifié, le XSS stocké peut être escaladé en un compromis complet du site s'il n'est pas traité rapidement.

J'écris en tant que praticien de la sécurité à Hong Kong pour fournir des conseils clairs et exploitables : comment la vulnérabilité fonctionne, des scénarios d'impact réalistes, des techniques de détection, des étapes de confinement immédiates que vous pouvez prendre maintenant, et des corrections sécurisées pour les développeurs. Ceci est destiné aux propriétaires de sites, aux développeurs et aux intervenants en cas d'incident qui ont besoin d'étapes à suivre immédiatement.

Que s'est-il passé (langage simple)

  • Le plugin collectchat enregistre des données dans un champ méta de post sans une sanitation adéquate.
  • Un utilisateur authentifié avec le rôle de contributeur peut insérer du HTML/JavaScript dans ce champ méta.
  • Le plugin sort ensuite ce champ méta dans un contexte où la valeur est rendue en tant que HTML (ou n'est pas correctement échappée), ce qui provoque l'exécution du script stocké lorsque un administrateur ou un visiteur consulte la page ou l'écran d'administration.
  • Le XSS stocké est persistant : les charges utiles injectées restent dans la base de données et peuvent affecter de nombreux utilisateurs au fil du temps.

Contexte important : l'exploitation nécessite un compte de contributeur pour placer la charge utile. De nombreux sites permettent les inscriptions d'utilisateurs ou utilisent des comptes de contributeur pour des entrepreneurs ou des auteurs invités — la surface d'attaque est donc non triviale.

Analyse technique : comment fonctionne le XSS stocké via post_meta

  1. An attacker creates or controls a Contributor account and inserts HTML/JavaScript into a post meta field (for example,