| Nom du plugin | WordPress Prime Slider – Addons pour le plugin Elementor |
|---|---|
| Type de vulnérabilité | Script intersite (XSS) |
| Numéro CVE | CVE-2026-4341 |
| Urgence | Moyen |
| Date de publication CVE | 2026-04-07 |
| URL source | CVE-2026-4341 |
WordPress Prime Slider ≤ 4.1.10 — XSS stocké authentifié via follow_us_text (CVE-2026-4341)
Résumé : Une vulnérabilité de Cross-Site Scripting (XSS) stockée affectant Prime Slider – Addons For Elementor (≤ 4.1.10) permet aux utilisateurs authentifiés avec des privilèges de niveau auteur (ou supérieur) d'injecter un script via le paramètre follow_us_text. Suivi sous le nom de CVE-2026-4341 ; corrigé dans 4.1.11. Cet avis explique le risque, la détection, la remédiation, les recherches et des exemples pratiques de patch virtuel.
Contexte et impact
Le 7 avril 2026, une vulnérabilité XSS stockée a été divulguée affectant Prime Slider – Addons For Elementor (versions jusqu'à et y compris 4.1.10). Le plugin stockait une valeur du paramètre follow_us_text sans suffisamment de désinfection ou d'échappement de sortie. Un utilisateur authentifié (niveau auteur ou supérieur) pouvait injecter du HTML/JavaScript qui est stocké et exécuté plus tard dans les navigateurs d'autres utilisateurs lorsque la valeur est rendue.
Le problème est enregistré sous le nom de CVE-2026-4341 et a été corrigé dans la version 4.1.11. Bien que le CVSS signalé soit modéré (~5.9), le XSS stocké présente un risque élevé en pratique : les attaquants peuvent voler des jetons de session, agir en tant qu'administrateurs, persister des redirections ou installer d'autres portes dérobées.
Qui est à risque
- Sites exécutant la version 4.1.10 ou antérieure du plugin Prime Slider – Addons For Elementor.
- Sites qui permettent aux utilisateurs authentifiés non administrateurs (Auteur/Contributeur) de créer ou d'éditer du contenu de diaporama.
- Sites où follow_us_text est rendu sur des pages vues par des administrateurs, des éditeurs ou des visiteurs non authentifiés.
- Réseaux multisites où le plugin est actif au niveau du réseau.
Même les sites à faible trafic peuvent être ciblés ou découverts par des analyses automatisées. Considérez cela comme une action à entreprendre : vérifiez les versions et corrigez rapidement.
Comment la vulnérabilité fonctionne (niveau élevé)
- follow_us_text est un paramètre de plugin/champ modifiable enregistré dans la base de données (options, postmeta ou paramètres de plugin).
- La gestion des entrées ne nettoie pas correctement ou n'échappe pas aux entrées dangereuses (balises script, attributs d'événement).
- À la sortie, le HTML/JS stocké s'exécute dans les navigateurs des visiteurs. La persistance rend la charge utile efficace à travers les sessions.
- Un attaquant de niveau auteur peut injecter une charge utile qui s'exécute lorsque les administrateurs ou d'autres utilisateurs privilégiés consultent le curseur.
- Les conséquences incluent le vol de cookies, le détournement de session, des actions privilégiées de style CSRF, ou la livraison de charges utiles secondaires.
Scénarios d'exploitation et objectifs des attaquants
- Pivot d'escalade de privilèges : capturer la session/cookies de l'administrateur lorsque l'administrateur consulte les pages affectées.
- Dépôt de malware persistant : injecter des scripts qui chargent des malwares externes, des publicités ou du spam.
- Ingénierie sociale et redirections : afficher de fausses invites administratives ou rediriger vers des sites de phishing/monétisés.
- Empoisonnement SEO / insertion de spam : cacher des liens ou du contenu qui dégradent la réputation et les classements.
- Livraison de deuxième étape : utiliser XSS pour effectuer des actions authentifiées (télécharger un plugin, changer des options).
Détection sûre et indicateurs de compromission
Concentrez-vous sur le contenu stocké et les signes comportementaux :
