Urgent : XSS stocké dans “ Autoriser HTML dans les descriptions de catégorie ” (<= 1.2.4) — Ce que les propriétaires de sites WordPress doivent faire maintenant

Résumé : Une vulnérabilité de Cross-Site Scripting (XSS) stockée (CVE-2026-0693) a été divulguée dans le plugin WordPress “ Autoriser HTML dans les descriptions de catégorie ” (versions ≤ 1.2.4). Un utilisateur authentifié avec des privilèges de niveau Administrateur peut injecter du HTML/JavaScript malveillant dans les descriptions de catégorie qui peuvent ensuite s'exécuter dans les navigateurs des visiteurs ou d'autres administrateurs. Il n'existe actuellement aucun correctif officiel pour les versions vulnérables. Cet avis explique les détails techniques, les scénarios de menace, les atténuations immédiates, les étapes de détection et de nettoyage, ainsi que le renforcement à long terme du point de vue d'un expert en sécurité de Hong Kong.

Remarque : Si vous utilisez ce plugin et avez une version affectée installée, considérez cela comme une tâche de sécurité de site à haute priorité — même si la vulnérabilité nécessite des privilèges d'administrateur, l'impact peut être significatif en pratique.

Quelle est la vulnérabilité ?

• Type : Script intersite stocké (XSS).
• Composant affecté : plugin WordPress “ Autoriser HTML dans les descriptions de catégorie ” — versions ≤ 1.2.4.
• CVE : CVE-2026-0693.
• CVSS : 5.9 (moyen), Vecteur : CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L.
• Cause profonde : Le plugin permet aux administrateurs de sauvegarder du HTML non filtré dans les descriptions de taxonomie sans une sanitation ou un encodage de sortie appropriés. Du JavaScript malveillant stocké dans une description de catégorie peut être exécuté dans le contexte d'une page qui rend cette description (front-end ou certaines vues administratives), permettant le vol de cookies, l'abus de privilèges ou des actions effectuées avec la session de navigateur de la victime.

Pourquoi cela importe : Les administrateurs sont des comptes de confiance. Un attaquant qui compromet un compte admin (ou trompe un admin pour sauvegarder une description conçue) peut persister des scripts qui victimisent d'autres utilisateurs admin ou visiteurs du site. Les conséquences incluent la défiguration du site, la collecte de données d'identification, des redirections malveillantes ou la prise de contrôle complète du site par le biais d'attaques en chaîne.

Comment un attaquant peut exploiter cela

1. L'attaquant obtient ou compromet un compte Administrateur (hameçonnage, réutilisation de mot de passe, insider), ou trompe un admin pour sauvegarder une charge utile.
2. Via l'interface du plugin (écran d'édition de catégorie) ou un autre point d'entrée qui met à jour les descriptions de taxonomie, l'attaquant injecte une charge utile dans le champ de description de la catégorie — par exemple, , un SVG avec un gestionnaire onload/onerror, ou des charges utiles basées sur des attributs tels que onmouseover, srcset, ou des URI javascript :.
3. La charge utile est stockée dans la base de données (term_taxonomy.description).
4. Lorsque un administrateur ou un visiteur consulte la page de catégorie (ou toute page d'administration rendant cette description), le script s'exécute dans leur navigateur dans l'origine du site.
5. Les actions possibles de l'attaquant incluent :
   • Collecter des cookies/localStorage et les envoyer à un serveur distant.
   • Utiliser la session de navigateur authentifiée de la victime pour appeler les points de terminaison WordPress REST/AJAX (créant potentiellement des utilisateurs, installant des plugins, modifiant des options) si les vérifications de nonce ou de capacité sont faibles.
   • Injecter un contenu malveillant supplémentaire (publicités, redirections, formulaires de collecte de données d'identification) ou modifier des pages administratives.

Nuance importante : De nombreuses installations WordPress définissent les cookies d'authentification comme HttpOnly, empêchant l'accès direct aux cookies par JS. Cependant, JavaScript peut toujours effectuer des requêtes XHR/fetch authentifiées si les protections de même origine et de nonce sont absentes ou si les nonces sont volés. Les attaquants peuvent enchaîner XSS avec d'autres faiblesses pour accroître l'impact.

Interaction utilisateur : Bien que certains rapports classifient cela comme nécessitant une interaction utilisateur (par exemple, un administrateur visitant une page conçue), le XSS stocké est persistant et peut s'exécuter automatiquement lorsque les pages sont chargées.

Actions immédiates et prioritaires (dans l'heure qui suit)

1. Désactivez le plugin maintenant

   Allez à wp-admin → Plugins et désactivez “ Autoriser HTML dans les descriptions de catégorie ” immédiatement. Si vous ne pouvez pas accéder au panneau d'administration, désactivez via FTP ou le gestionnaire de fichiers d'hébergement en renommant le dossier du plugin : wp-content/plugins/allow-html-in-category-descriptions → ajouter -désactivé.

2. Mettez le site en mode maintenance (si approprié)

   Si vous soupçonnez une exploitation active (redirections visibles, défiguration, spam), bloquez temporairement l'accès public pendant que vous enquêtez.

3. Auditez et faites tourner les identifiants administratifs

   Forcez les réinitialisations de mot de passe pour tous les comptes Administrateur. Révoquez les sessions et les jetons (Utilisateurs → Tous les utilisateurs → pour chaque admin, “Déconnexion partout” ou utilisez des outils d'expiration de session). Appliquez des mots de passe forts et activez l'authentification à deux facteurs (2FA) pour les comptes administrateurs.

4. Bloquez les nouvelles requêtes qui tentent de sauvegarder des charges utiles XSS

   Si vous pouvez déployer un filtrage des requêtes au niveau de l'hôte, du CDN ou via un pare-feu d'application Web (WAF), bloquez les requêtes POST qui tentent de sauvegarder des descriptions de catégorie contenant des motifs semblables à des scripts. Voir les règles WAF suggérées plus loin dans cet article.

5. Sauvegardez votre site (fichiers + DB)

   Créez une sauvegarde complète avant de modifier ou de nettoyer le site. Exportez la base de données et téléchargez wp-content et uploads pour des copies judiciaires.

6. Scannez immédiatement les indicateurs de compromission

   Recherchez des utilisateurs inattendus, des fichiers inconnus, des tâches planifiées (travaux wp_cron), des valeurs d'option modifiées et du contenu injecté dans les publications, les pages et les descriptions de taxonomie.

Enquête : trouvez des descriptions de catégorie malveillantes et évaluez les dommages

Les descriptions de catégorie sont stockées dans la base de données ; recherchez rapidement du contenu semblable à des scripts.

Utiliser WP-CLI (recommandé si vous avez un accès shell) :

wp db query "SELECT term_taxonomy_id, term_id, description FROM wp_term_taxonomy WHERE description LIKE '%

wp db query "SELECT term_taxonomy_id, term_id, description FROM wp_term_taxonomy WHERE description REGEXP '(script|onerror|onload|javascript:|data:|iframe|svg|img)';"

 'category',
  'hide_empty' => false,
) );

$allowed_tags = array(
  'a' => array('href' => true, 'title' => true, 'rel' => true, 'target' => true),
  'b' => array(),
  'strong' => array(),
  'i' => array(),
  'em' => array(),
  'p' => array(),
  'br' => array(),
  'ul' => array(),
  'ol' => array(),
  'li' => array(),
  'span' => array('class' => true),
  // add only tags/attributes you trust
);

foreach ( $terms as $term ) {
    $clean = wp_kses( $term->description, $allowed_tags );
    if ( $clean !== $term->description ) {
        wp_update_term( $term->term_id, 'category', array('description' => $clean) );
        echo "Cleaned term {$term->term_id}
";
    }
}
?>

wp eval-file sanitize-term-descriptions.php

# Block attempts to save category descriptions containing 
			
				
			
					

							
			
			
			





				
				 
 
   
 
  
 
 Vérifiez ma commande
 0 
 
 
  
 
 
  
 
 
 
 Sous-total
 
Taxes et frais de port calculés à la caisse
 
 
  
 
 
 
   Passer à la caisse