WBase de données des vulnérabilités WordPress

Avis de Sécurité de Hong Kong myCred XSS (CVE20260550)

Cross Site Scripting (XSS) dans le plugin myCred de WordPress
0
Partages
0
0
0
0
Nom du plugin myCred
Type de vulnérabilité Script intersite (XSS)
Numéro CVE CVE-2026-0550
Urgence Faible
Date de publication CVE 2026-02-15
URL source CVE-2026-0550

Urgent : myCred XSS stocké (CVE-2026-0550) — Ce que les propriétaires de sites WordPress doivent faire maintenant

Date : 13 févr. 2026
Auteur : Expert en sécurité de Hong Kong

Résumé

Une vulnérabilité de Cross-Site Scripting (XSS) stockée affectant le plugin WordPress myCred (versions ≤ 2.9.7.3) a été divulguée et a reçu le CVE-2026-0550. Un utilisateur authentifié avec des privilèges de Contributeur (ou supérieurs) peut injecter une charge utile malveillante persistante qui est ensuite rendue sur le front end via le mycred_load_coupon shortcode. Le problème est corrigé dans myCred 2.9.7.4. Cet avis explique le risque technique, les chemins d'exploitation probables, les stratégies de détection et la remédiation étape par étape — y compris les options de durcissement immédiat et de patch virtuel.

Si myCred est installé sur l'un de vos sites WordPress, lisez ceci en entier et agissez maintenant.

Faits rapides

  • Plugin affecté : myCred (WordPress)
  • Versions vulnérables : ≤ 2.9.7.3
  • Version corrigée : 2.9.7.4
  • Type de vulnérabilité : Script intersite stocké (XSS)
  • Privilège requis pour exploiter : Contributeur (authentifié)
  • CVE : CVE-2026-0550
  • Gravité estimée : Moyenne / CVSS 6.5 (utilisateur authentifié requis, mais XSS persistant)
  • Impact de l'exploitation : Scripts fournis par l'attaquant exécutés dans les navigateurs des visiteurs — possible prise de contrôle de compte, injection de contenu, phishing, redirections et exploits côté client
  • Atténuation immédiate : Mettez à jour le plugin ; si une mise à jour immédiate n'est pas possible, appliquez un patch virtuel via des règles WAF et restreignez les capacités des contributeurs

Que s'est-il passé — en termes simples

myCred expose un shortcode (mycred_load_coupon) qui affiche le contenu des coupons. Dans les versions vulnérables, les données que les Contributeurs peuvent créer ne sont pas correctement assainies/échappées avant d'être stockées ou affichées. Un Contributeur malveillant pourrait ajouter du balisage ou du JavaScript dans les champs de coupon que le shortcode affiche ensuite sans modification dans les pages. Comme la charge utile est stockée dans la base de données et rendue lorsque les visiteurs consultent la sortie du shortcode, il s'agit d'un XSS stocké — une vulnérabilité persistante côté client.

Le XSS stocké est particulièrement dangereux car le contenu malveillant persiste et peut affecter de nombreux visiteurs au fil du temps, y compris les administrateurs et les éditeurs qui consultent la page affectée dans le tableau de bord ou le front end.

Pourquoi cela vous concerne

  1. Les contributeurs sont courants : De nombreux sites permettent aux contributeurs externes, auteurs invités, affiliés ou utilisateurs à faibles privilèges de créer du contenu. Si vous permettez ce rôle, votre risque augmente.
  2. Le XSS stocké peut affecter des utilisateurs de confiance : Les administrateurs et les éditeurs visualisant la page pourraient avoir des cookies ou des jetons de session exposés si un attaquant crée une charge utile d'exfiltration.
  3. Dommages SEO et réputation : Des scripts malveillants peuvent injecter du spam SEO, rediriger les visiteurs vers des pages de malware/phishing, ou afficher des publicités indésirables.
  4. Escalade latérale : Les attaquants peuvent utiliser le XSS pour escalader les privilèges par le vol de session, CSRF ou ingénierie sociale des utilisateurs privilégiés.

Scénario d'exploitation — ce qu'un attaquant ferait

  • L'attaquant s'inscrit ou utilise un compte Contributeur existant.
  • Ils créent ou modifient un coupon et intègrent un payload (par exemple,