WBase de données des vulnérabilités WordPress

Menace de Cross Site Scripting dans le plugin de paiement (CVE20260751)

Cross Site Scripting (XSS) dans le plugin de page de paiement WordPress
0
Partages
0
0
0
0
Nom du plugin Plugin de page de paiement WordPress
Type de vulnérabilité Script intersite
Numéro CVE CVE-2026-0751
Urgence Moyen
Date de publication CVE 2026-02-13
URL source CVE-2026-0751

CVE-2026-0751 : Analyse approfondie — XSS stocké authentifié (Auteur) dans le plugin de page de paiement

Mise à jour (13 fév 2026) : Une vulnérabilité de Cross‑Site Scripting (XSS) stockée affectant le plugin WordPress de page de paiement (Formulaire de paiement pour Stripe) (versions ≤ 1.4.6) a été divulguée. Le défaut permet à un utilisateur authentifié avec des privilèges d'Auteur de sauvegarder du contenu via le paramètre pricing_plan_select_text_font_family qui est ensuite rendu aux visiteurs sans suffisamment de nettoyage ou d'échappement. Ci-dessous se trouve une analyse technique, une évaluation de l'impact, des conseils de détection et des atténuations pratiques écrites dans le ton concis et pragmatique que j'utilise lorsque je conseille les propriétaires de sites de Hong Kong et les équipes de sécurité.

Résumé exécutif

  • Logiciel : Plugin de page de paiement (Formulaire de paiement pour Stripe) WordPress
  • Versions vulnérables : ≤ 1.4.6
  • Vulnérabilité : Cross‑Site Scripting (XSS) stocké via pricing_plan_select_text_font_family
  • CVE : CVE‑2026‑0751
  • Privilège requis : Auteur (authentifié)
  • CVSS (rapporté) : ~5.9 (Moyen) — nécessite un Auteur authentifié et une certaine interaction utilisateur
  • Rapporté par : Athiwat Tiprasaharn (Jitlada) — publié le 13 fév 2026

Résumé : un Auteur authentifié peut fournir une valeur malveillante destinée à un paramètre de police de caractères que le plugin stocke et sort ensuite aux visiteurs du site sans validation/échappement appropriés. La nature stockée signifie que de nombreux visiteurs peuvent être affectés ; les conséquences vont du détournement de l'interface utilisateur et du phishing au vol de session selon le contexte du site.

Pourquoi cela importe : XSS stocké dans une interface de paiement

Les interfaces de paiement et de tarification sont des zones de haute confiance sur les sites web. Le XSS stocké dans ces composants est particulièrement dangereux car :

  • JavaScript executes in the site’s origin — attackers may access cookies, perform actions as users, or intercept form inputs if same‑origin policies permit.
  • L'interface utilisateur injectée peut induire les visiteurs en erreur (phishing ou invites frauduleuses) et causer des dommages financiers ou réputationnels.
  • Les charges utiles stockées persistent et affectent chaque visiteur qui consulte la page infectée, amplifiant l'impact.

À Hong Kong et dans d'autres juridictions avec une activité eCommerce et de paiement active, les conséquences réputationnelles et réglementaires rendent l'atténuation rapide essentielle.

Résumé technique de la faille

  • Point d'entrée : paramètre pricing_plan_select_text_font_family, destiné à la sélection de polices ou au texte des étiquettes.
  • Faiblesse : le plugin accepte et stocke les entrées, les rendant ensuite en HTML sans échappement contextuel ou validation stricte.
  • Vecteur d'attaque : un utilisateur authentifié (rôle Auteur ou supérieur) injecte du contenu malveillant via l'interface utilisateur du plugin ou les paramètres. Lorsque les visiteurs chargent la page, le contenu stocké est rendu et exécuté.
  • Résultat : stored XSS — arbitrary JavaScript execution in visitors’ browsers.

La cause profonde semble être le manque de validation/liste blanche pour les valeurs censées être des noms de polices simples et l'échec d'échapper à la sortie. Une approche sécurisée consisterait à mettre sur liste blanche les polices et à s'assurer que toutes les valeurs stockées sont rendues en tant que texte brut ou échappées en toute sécurité.

Qui est à risque ?

  • Sites utilisant des versions du plugin Payment Page (Formulaire de paiement pour Stripe) ≤ 1.4.6.
  • Sites qui accordent aux Auteurs (ou rôles équivalents) la possibilité de modifier les paramètres de tarification ou l'interface utilisateur du plugin.
  • Blogs multi-auteurs, sites d'adhésion, plateformes éditoriales et tout site où des tiers peuvent modifier le contenu affiché.

Si les Auteurs sont étroitement contrôlés et entièrement vérifiés, le risque immédiat est plus faible ; si les comptes sont partagés, réutilisés ou gérés par des sous-traitants externes, le risque augmente.

Évaluation de l'exploitabilité et de l'impact

Exploitabilité : Moyen — l'attaquant a besoin d'un compte Auteur authentifié. Aucun exploit distant non authentifié n'est indiqué.

Impact : Variable. Les résultats possibles incluent :

  • Faible à moyen : falsification de l'interface utilisateur, redirections, scripts nuisibles.
  • Élevé : vol de session, collecte de données d'identification, capture de données de paiement ou personnelles lorsque les formulaires partagent l'origine, ou distribution de charges utiles malveillantes.

Parce que la vulnérabilité est stockée, une seule injection peut compromettre de nombreux visiteurs au fil du temps.

Détection pratique : indicateurs que vous pouvez vérifier maintenant

  1. Inventaire : Confirm plugin presence and version via WordPress admin (Plugins > Installed Plugins). Identify pages that display pricing plan UI.
  2. Auditer les rôles des utilisateurs : Listez les comptes avec des privilèges d'Auteur ou supérieurs et examinez les changements récents concernant les prix ou les paramètres des plugins.
  3. Rechercher des données stockées : Interroger les tables de la base de données (par exemple, wp_postmeta, options de plugin) pour des chaînes suspectes contenant des balises HTML (