WBase de données des vulnérabilités WordPress

Alerte de sécurité de Hong Kong Collectchat XSS(CVE20260736)

Cross Site Scripting (XSS) dans le plugin collectchat de WordPress
0
Partages
0
0
0
0
Nom du plugin collectchat
Type de vulnérabilité Script intersite (XSS)
Numéro CVE CVE-2026-0736
Urgence Faible
Date de publication CVE 2026-02-15
URL source CVE-2026-0736

XSS stocké authentifié dans collectchat (≤ 2.4.8) — Analyse pratique, évaluation des risques et étapes de récupération pour les propriétaires de sites WordPress

Auteur : Expert en sécurité de Hong Kong

Résumé : Une vulnérabilité de script intersite stocké (XSS) affectant le plugin WordPress collectchat (versions ≤ 2.4.8, CVE-2026-0736) permet aux utilisateurs authentifiés avec des privilèges de contributeur d'injecter du JavaScript dans un champ méta de post. Cet article explique les détails techniques, qui est à risque, la détection et les atténuations immédiates, le nettoyage et la récupération, ainsi que les conseils de renforcement pour les développeurs.

Aperçu et évaluation rapide des dangers

Le 13 février 2026, une vulnérabilité de script intersite stocké (XSS) affectant le plugin WordPress collectchat (versions ≤ 2.4.8) a été divulguée (CVE-2026-0736). La vulnérabilité permet à un utilisateur authentifié avec le rôle de contributeur de stocker du JavaScript arbitraire dans un champ méta de post. Le plugin affiche ensuite cette valeur méta sans suffisamment de nettoyage/échappement, permettant l'exécution de scripts lorsqu'elle est rendue dans l'interface admin ou sur le frontend.

Pourquoi cela compte en termes simples :

  • Les contributeurs peuvent normalement créer et modifier leurs propres posts mais ne peuvent pas publier ; ce privilège limité peut sembler à faible risque au départ.
  • Le XSS stocké peut cibler les administrateurs et les éditeurs qui consultent le post ou l'écran du plugin compromis — permettant la prise de contrôle de compte, l'escalade de privilèges ou un compromis plus large.
  • Les blogs multi-auteurs, les flux de travail éditoriaux, les sites d'adhésion, ou tout environnement où les contributeurs se connectent sont particulièrement exposés.

CVSS et priorité : Les rapports publics indiquent un score de base CVSS 3.1 d'environ 6.5. Priorisez en fonction de la configuration du site — les sites multi-auteurs et éditoriaux devraient agir plus rapidement que les blogs à auteur unique.

Ce guide explique comment les attaquants peuvent abuser de la faille, quoi vérifier immédiatement, comment nettoyer et récupérer, et les étapes pour renforcer votre site.

Cause racine technique et scénarios d'exploitation

Ce qui s'est passé (résumé technique)

  • Le plugin stocke le contenu dans un champ méta de post (par exemple, clé méta utilisée pour la configuration de chat ou le contenu du widget).
  • Les entrées des utilisateurs avec des privilèges de contributeur ne sont pas validées ou nettoyées avant d'être enregistrées.
  • Lorsque le plugin rend la valeur méta dans l'interface admin ou le frontend, elle est insérée dans le HTML sans échappement — permettant des charges utiles stockées (par exemple.