| Nom du plugin | Gestionnaire de logo pour Enamad |
|---|---|
| Type de vulnérabilité | Script intersite (XSS) |
| Numéro CVE | CVE-2026-6549 |
| Urgence | Faible |
| Date de publication CVE | 2026-05-20 |
| URL source | CVE-2026-6549 |
XSS stocké par un contributeur authentifié dans le gestionnaire de logo pour Enamad (<= 0.7.4) — Ce que les propriétaires de sites WordPress doivent faire maintenant
Date : 2026-05-19 | Auteur : Expert en sécurité de Hong Kong
TL;DR
Une vulnérabilité de Cross-Site Scripting (XSS) stockée (CVE-2026-6549) dans le plugin WordPress “Gestionnaire de logo pour Enamad” (versions ≤ 0.7.4) permet à un contributeur authentifié d'injecter du HTML/JavaScript qui peut persister et s'exécuter lorsque des utilisateurs ayant des privilèges plus élevés consultent les données. CVSS : 6.5. Si ce plugin est installé, suivez les étapes immédiates d'atténuation et de remédiation ci-dessous. Si vous ne pouvez pas mettre à jour ou supprimer le plugin immédiatement, envisagez un patch virtuel à la périphérie.
Pourquoi cela importe (explication courte et pratique)
Les XSS stockés sont souvent abusés sur les sites WordPress. Impact pratique pour ce problème :
- Un contributeur authentifié peut injecter un script malveillant dans les données gérées par le plugin (par exemple, les champs méta ou description du logo).
- Le script malveillant est stocké dans la base de données (XSS stocké).
- Lorsque qu'un administrateur, un éditeur ou un autre utilisateur privilégié consulte la zone infectée, le script s'exécute dans leur navigateur.
- Les conséquences incluent le vol de session, des requêtes administratives falsifiées, la création de portes dérobées ou un compromis plus large du site.
De nombreux sites permettent les inscriptions de contributeurs ou acceptent les soumissions de contributeurs, ce qui en fait une menace réaliste même si l'attaquant initial doit être authentifié.
Faits clés
- Plugin affecté : Gestionnaire de logo pour Enamad
- Versions vulnérables : ≤ 0.7.4
- Type de vulnérabilité : Script intersite stocké (XSS)
- Privilège requis : Contributeur (authentifié)
- CVE : CVE-2026-6549
- Score de base CVSS : 6.5 (Moyen)
- État du patch : Aucun patch officiel disponible au moment de la divulgation publique
- Complexité d'exploitation : Nécessite une interaction utilisateur / vue d'utilisateur privilégié