CVE-2026-7619: SQL Injection in Charitable WordPress Plugin
Plateforme
wordpress
Composant
charitable
Corrigé dans
1.8.10.5
Une vulnérabilité de type SQL Injection a été découverte dans le plugin Charitable – Donation Plugin pour WordPress. Cette faille permet à un attaquant authentifié, disposant des droits d'administration sur la gestion des dons (capacité editothersdonations et supérieure), d'injecter des requêtes SQL malveillantes. Les versions concernées sont celles allant de 1.0.0 à 1.8.10.4 inclus. Une version corrigée, 1.8.10.5, est désormais disponible.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
L'exploitation réussie de cette vulnérabilité SQL Injection permet à un attaquant d'extraire des données sensibles de la base de données WordPress. Cela peut inclure des informations sur les donateurs, les montants des dons, les informations de contact et potentiellement d'autres données confidentielles stockées dans la base de données. Un attaquant pourrait également modifier ou supprimer des données, compromettant l'intégrité du site web et des informations qu'il contient. Bien que la vulnérabilité nécessite une authentification, la capacité editothersdonations est relativement courante, ce qui augmente le risque d'exploitation. Cette faille est similaire à d'autres vulnérabilités SQL Injection qui ont permis l'accès à des données sensibles et la prise de contrôle de sites web.
Contexte d'Exploitation
La vulnérabilité CVE-2026-7619 a été publiée le 13 mai 2026. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une authentification. Il n'y a pas d'informations disponibles concernant des campagnes d'exploitation actives ou des preuves publiques de PoC (Proof of Concept) à ce jour. Consultez le site du NVD (National Vulnerability Database) et CISA (Cybersecurity and Infrastructure Security Agency) pour les mises à jour.
Renseignement sur les Menaces
Statut de l'Exploit
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Aucun — aucun impact sur l'intégrité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Reserved
- Publiée
Mitigation et Contournements
La mitigation immédiate consiste à mettre à jour le plugin Charitable vers la version 1.8.10.5 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, il est recommandé de restreindre l'accès à la zone d'administration de la gestion des dons aux utilisateurs strictement nécessaires. En attendant la mise à jour, envisagez de configurer un pare-feu applicatif web (WAF) pour bloquer les requêtes suspectes contenant des injections SQL. Surveillez attentivement les journaux du serveur web et de la base de données pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité des données et assurez-vous qu'aucune donnée n'a été compromise.
Comment corriger
Mettre à jour vers la version 1.8.10.5, ou une version corrigée plus récente
Questions fréquentes
Quel est le CVE-2026-7619 — SQL Injection dans Charitable WordPress Plugin ?
CVE-2026-7619 est une vulnérabilité SQL Injection affectant le plugin Charitable pour WordPress, permettant à un attaquant authentifié d'extraire des données sensibles. Les versions concernées sont 1.0.0–1.8.10.4.
Suis-je affecté par le CVE-2026-7619 dans Charitable WordPress Plugin ?
Vous êtes affecté si vous utilisez le plugin Charitable pour WordPress dans une version comprise entre 1.0.0 et 1.8.10.4 inclus. Vérifiez la version installée et mettez à jour si nécessaire.
Comment corriger le CVE-2026-7619 dans Charitable WordPress Plugin ?
La correction consiste à mettre à jour le plugin Charitable vers la version 1.8.10.5 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, restreignez l'accès à la zone d'administration des dons.
Le CVE-2026-7619 est-il activement exploité ?
À ce jour, il n'y a pas de preuves publiques d'exploitation active de la vulnérabilité CVE-2026-7619, mais la probabilité d'exploitation est considérée comme moyenne.
Où puis-je trouver l'avis officiel de WordPress pour le CVE-2026-7619 ?
Consultez le site web de WordPress et le site du plugin Charitable pour obtenir les informations officielles et les mises à jour concernant le CVE-2026-7619.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Scannez votre projet WordPress maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...