| Nom du plugin | PixelYourSite PRO |
|---|---|
| Type de vulnérabilité | Script intersite (XSS) |
| Numéro CVE | CVE-2026-1844 |
| Urgence | Moyen |
| Date de publication CVE | 2026-03-14 |
| URL source | CVE-2026-1844 |
XSS stocké non authentifié dans PixelYourSite PRO (<= 12.4.0.2) — Ce que cela signifie pour votre site WordPress et comment le protéger
Auteur : Expert en sécurité de Hong Kong | Date : 2026-03-12
Une vulnérabilité a été divulguée affectant les versions de PixelYourSite PRO jusqu'à et y compris 12.4.0.2 : un problème de Cross‑Site Scripting (XSS) stocké non authentifié (CVE-2026-1844). Le fournisseur du plugin a publié la version 12.4.0.3 pour résoudre le problème. L'XSS stocké qui peut être déclenché sans authentification étend la portée de l'attaquant et doit être traité avec urgence par les propriétaires et les administrateurs de sites.
Cet article explique ce qu'est la vulnérabilité, comment un attaquant pourrait l'exploiter, l'impact probable, les étapes de détection, les atténuations immédiates et le renforcement à long terme. Si vous utilisez PixelYourSite PRO, mettez à jour vers la version 12.4.0.3 ou ultérieure comme première et principale action.
Résumé exécutif (ce que chaque propriétaire de site devrait faire dès maintenant)
- Mettez immédiatement à jour PixelYourSite PRO vers la version 12.4.0.3 ou ultérieure.
- Si vous ne pouvez pas mettre à jour immédiatement, mettez en œuvre un patch virtuel ou des règles WAF pour bloquer les charges utiles d'exploitation probables et les requêtes vers le(s) point(s) de terminaison vulnérable(s).
- Analysez le site à la recherche de scripts injectés et de signes de compromission (malveillant
