Résumé exécutif

Une vulnérabilité de Cross-Site Scripting (XSS) stockée dans le plugin WordPress Vagaro Booking Widget (versions ≤ 0.3) a été attribuée à CVE-2026-3003. Un attaquant non authentifié peut soumettre du HTML/JavaScript dans un champ de plugin nommé vagaro_code, qui est ensuite stocké et rendu plus tard dans des pages ou des écrans d'administration. Étant donné que la charge utile est stockée, elle peut s'exécuter à plusieurs reprises chaque fois qu'un visiteur ou un utilisateur administratif consulte les pages affectées.

D'un point de vue de sécurité pragmatique, il s'agit d'un problème de gravité moyenne avec un risque opérationnel réel : le XSS stocké permet le vol de session, la redirection persistante, l'escalade de privilèges (lorsqu'il est combiné avec CSRF) et l'injection de logiciels malveillants ou de portes dérobées persistants. Si un correctif en amont n'est pas encore disponible, les propriétaires de sites doivent agir rapidement pour contenir et remédier.

Cet article explique la vulnérabilité, son impact, comment détecter les sites affectés et les étapes pratiques de confinement, de remédiation et de durcissement — écrit du point de vue d'un praticien de la sécurité expérimenté à Hong Kong.

Qui devrait lire ceci

• Propriétaires de sites WordPress utilisant le plugin de widget de réservation Vagaro.
• Développeurs et agences maintenant des sites clients avec le plugin installé.
• Administrateurs conscients de la sécurité qui doivent contenir et remédier rapidement.
• Fournisseurs d'hébergement et équipes WordPress gérées qui assistent les clients.

Quelle est la vulnérabilité ?

• Type de vulnérabilité : Cross-Site Scripting (XSS) stocké.
• Composant affecté : Vagaro Booking Widget (plugin) — versions ≤ 0.3.
• Champ affecté : contenu fourni par l'utilisateur enregistré dans un champ de plugin nommé vagaro_code.
• Privilège requis : Non authentifié (tout visiteur peut soumettre des charges utiles).
• Impact : Exécution persistante de JavaScript fourni par l'attaquant dans le contexte du navigateur des visiteurs et des administrateurs du site.
• CVE : CVE-2026-3003
• Date de divulgation : 23 mars 2026

Le XSS stocké stocke du contenu malveillant sur le serveur (base de données ou stockage persistant) et le sert ensuite aux utilisateurs. Un attaquant n'a pas besoin d'une URL conçue — il suffit de consulter la page affectée pour déclencher l'exécution.

Pourquoi c'est sérieux

• Persistance : Les charges utiles restent jusqu'à ce qu'elles soient supprimées, affectant de manière répétée les visiteurs.
• Exposition des administrateurs : Si un administrateur consulte la page infectée, la charge utile s'exécute avec ses privilèges et peut modifier la configuration ou le contenu du site.
• Automatisation et échelle : Le XSS stocké peut être utilisé pour déployer des portes dérobées, créer des utilisateurs administrateurs ou servir des logiciels malveillants sur de nombreuses pages.
• Évasion : Les charges utiles peuvent être obscurcies pour échapper à des scanners simples ; les entrées spécifiques aux plugins peuvent être négligées lors des vérifications de routine.

Scénarios d'exploitation typiques

• Exfiltrer des cookies d'authentification ou des jetons, permettant la prise de contrôle de compte.
• Injecter des scripts de cryptominage ou de fraude publicitaire visibles par tous les visiteurs.
• Créer des comptes administrateurs ou insérer des options qui persistent un chargeur côté serveur.
• Rediriger les visiteurs vers des sites de phishing ou de logiciels malveillants.
• Chaîner avec CSRF ou des identifiants faibles pour compromettre complètement un site ou pivoter vers d'autres systèmes.

Vue technique sécurisée (pas de code d'exploitation)

1. L'attaquant soumet du HTML/JS dans l'entrée du plugin qui stocke vagaro_code.
2. Le plugin stocke la valeur sans une désinfection appropriée ou un encodage de sortie.
3. Lorsque la page ou l'écran administrateur rend la valeur stockée, le navigateur exécute le JavaScript dans le contexte du site.
4. La charge utile s'exécute avec le niveau de privilège du visualiseur et peut effectuer des actions ou exfiltrer des données.

Aucun code d'exploitation n'est reproduit ici. L'accent est mis sur la détection, la containment et la remédiation.

Comment vérifier rapidement si votre site est affecté

Important : Prenez une sauvegarde complète (fichiers + base de données) avant de faire des modifications. Si vous soupçonnez une compromission, isolez le site et travaillez depuis un environnement sûr.

1. Identifiez si le plugin est installé et sa version :
   • Admin WordPress : Plugins → Plugins installés → recherchez “Vagaro Booking Widget”.
   • WP-CLI : wp plugin list --status=actif
2. Recherchez des champs de base de données spécifiques au plugin qui peuvent contenir vagaro_code. Exemples de requêtes SQL (exécutées via phpMyAdmin, Adminer ou wp db query) :

SELECT * FROM wp_postmeta WHERE meta_value LIKE '%vagaro_code%' OR meta_key LIKE '%vagaro%';

wp db query "SELECT * FROM wp_postmeta WHERE meta_value LIKE '%