CVE-2026-2396: XSS dans List View Google Calendar
Plateforme
wordpress
Composant
list-view-google-calendar
Corrigé dans
7.4.4
La vulnérabilité CVE-2026-2396 concerne une faille de Cross-Site Scripting (XSS) stockée dans le plugin List View Google Calendar pour WordPress. Cette faille permet à un attaquant authentifié, disposant d'un accès administrateur, d'injecter des scripts web arbitraires via la description d'un événement. Elle affecte les versions du plugin comprises entre 0.0.0 et 7.4.3, et est corrigée dans la version 7.4.4, publiée le 14 avril 2026.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript malveillant dans les pages du site WordPress. Ce code s'exécutera dans le contexte du navigateur de l'utilisateur qui accède à la page compromise. Un attaquant pourrait ainsi voler des cookies de session, rediriger les utilisateurs vers des sites malveillants, modifier le contenu de la page web, ou même exécuter des actions au nom de l'utilisateur affecté. Le risque est particulièrement élevé dans les installations multi-sites, où une seule vulnérabilité peut affecter plusieurs sites. La nécessité de privilèges administrateur pour l'exploitation limite l'impact, mais rend la vulnérabilité plus dangereuse si un compte administrateur est compromis.
Contexte d'Exploitation
La vulnérabilité CVE-2026-2396 n'est pas encore répertoriée sur KEV (Kernel Exploit Vulnerability) ni sur EPSS (Exploit Prediction Scoring System), ce qui indique une faible probabilité d'exploitation à court terme. Aucune preuve publique d'exploitation active n'est actuellement disponible. La vulnérabilité a été publiée le 14 avril 2026 et est référencée par le NVD (National Vulnerability Database) et CISA (Cybersecurity and Infrastructure Security Agency).
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Élevée — nécessite une condition de course, configuration non standard ou circonstances spécifiques.
- Privileges Required
- Élevé — un compte administrateur ou privilégié est requis.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
- Confidentiality
- Faible — accès partiel ou indirect à certaines données.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à jour le plugin List View Google Calendar vers la version 7.4.4 ou supérieure. Si la mise à jour n'est pas immédiatement possible, désactiver temporairement le plugin peut réduire le risque. Dans un environnement WordPress multi-site, il est crucial de vérifier et de mettre à jour tous les sites. En attendant la mise à jour, il est possible de configurer un pare-feu applicatif web (WAF) pour bloquer les requêtes contenant des scripts potentiellement malveillants dans les champs de description des événements. Il est également recommandé de désactiver l'option 'unfiltered_html' si elle est activée, car cette vulnérabilité ne touche que les installations où cette option est désactivée.
Comment corriger
Mettez à jour vers la version 7.4.4, ou une version corrigée plus récente
Questions fréquentes
Quel est le CVE-2026-2396 — XSS dans List View Google Calendar ?
CVE-2026-2396 est une vulnérabilité de Cross-Site Scripting (XSS) stockée dans le plugin List View Google Calendar pour WordPress, permettant l'injection de scripts malveillants via la description d'un événement. Elle affecte les versions 0.0.0–7.4.3.
Suis-je affecté par le CVE-2026-2396 dans List View Google Calendar ?
Vous êtes affecté si vous utilisez le plugin List View Google Calendar pour WordPress et que vous êtes sur une version inférieure à 7.4.4, et si l'option 'unfiltered_html' est désactivée. Vérifiez la version installée et mettez à jour si nécessaire.
Comment corriger le CVE-2026-2396 dans List View Google Calendar ?
La correction consiste à mettre à jour le plugin List View Google Calendar vers la version 7.4.4 ou supérieure. En attendant, désactivez le plugin ou configurez un WAF pour bloquer les requêtes malveillantes.
Le CVE-2026-2396 est-il activement exploité ?
À l'heure actuelle, il n'y a aucune preuve publique d'exploitation active de la vulnérabilité CVE-2026-2396, mais la vigilance reste de mise.
Où puis-je trouver l'avis officiel de List View Google Calendar pour le CVE-2026-2396 ?
Consultez le NVD (National Vulnerability Database) et CISA (Cybersecurity and Infrastructure Security Agency) pour les informations officielles sur cette vulnérabilité. Recherchez 'CVE-2026-2396' sur leurs sites respectifs.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Scannez votre projet WordPress maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...