CVE-2026-5371: Unauthorized Access in MonsterInsights WordPress Plugin
Plateforme
wordpress
Composant
google-analytics-for-wordpress
Corrigé dans
10.1.3
Le plugin MonsterInsights – Google Analytics Dashboard pour WordPress est vulnérable à un accès non autorisé et à la modification de données. Cette faille est due à l'absence de vérifications de capacité dans les fonctions getadsaccesstoken() et resetexperience(). Les attaquants authentifiés, disposant d'un accès de niveau Abonné ou supérieur, peuvent exploiter cette vulnérabilité. La version corrigée est 10.1.3, publiée le 12 mai 2026.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
Un attaquant ayant un accès de niveau Abonné ou supérieur sur un site WordPress utilisant le plugin MonsterInsights peut exploiter cette vulnérabilité pour récupérer des tokens d'accès Google OAuth. Ces tokens permettent un accès non autorisé aux données Google Ads associées au site web. La réinitialisation de l'intégration Google Ads peut également perturber le suivi des performances publicitaires et potentiellement entraîner des pertes financières. Bien qu'il n'y ait pas de rapports d'exploitation active, la récupération de tokens d'accès sensibles représente un risque significatif, car ils peuvent être utilisés pour des activités malveillantes, telles que la manipulation des données publicitaires ou l'accès à des informations confidentielles.
Contexte d'Exploitation
La vulnérabilité CVE-2026-5371 a été publiée le 12 mai 2026. Sa probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'un accès authentifié au site WordPress. Il n'y a pas de Proof of Concept (POC) public connu à ce jour. La vulnérabilité n'est pas répertoriée sur KEV ou EPSS. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à jour le plugin MonsterInsights vers la version 10.1.3 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre les permissions des utilisateurs à un minimum nécessaire. Envisagez également de désactiver temporairement l'intégration Google Ads si la mise à jour est retardée. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des accès aux API Google Ads peut aider à détecter une exploitation. Après la mise à jour, vérifiez que les permissions des utilisateurs sont correctement configurées et que l'intégration Google Ads fonctionne comme prévu.
Comment corriger
Mettre à jour vers la version 10.1.3, ou une version corrigée plus récente
Questions fréquentes
What is CVE-2026-5371 — Unauthorized Access in MonsterInsights WordPress Plugin?
CVE-2026-5371 est une vulnérabilité d'accès non autorisé dans le plugin MonsterInsights pour WordPress, permettant à des attaquants authentifiés de récupérer des tokens d'accès Google OAuth et de réinitialiser l'intégration Google Ads. La sévérité est évaluée à 7.1 (HIGH).
Am I affected by CVE-2026-5371 in MonsterInsights WordPress Plugin?
Vous êtes affecté si vous utilisez le plugin MonsterInsights pour WordPress et que vous n'avez pas mis à jour vers la version 10.1.3 ou ultérieure. Les versions antérieures à 10.1.3 sont vulnérables.
How do I fix CVE-2026-5371 in MonsterInsights WordPress Plugin?
Mettez à jour le plugin MonsterInsights vers la version 10.1.3 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, restreignez les permissions des utilisateurs et désactivez temporairement l'intégration Google Ads.
Is CVE-2026-5371 being actively exploited?
À ce jour, il n'y a pas de rapports d'exploitation active connus de CVE-2026-5371, mais la récupération de tokens d'accès sensibles représente un risque significatif.
Where can I find the official MonsterInsights advisory for CVE-2026-5371?
Consultez le site web de MonsterInsights ou leur blog pour obtenir les dernières informations et l'avis officiel concernant CVE-2026-5371.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Scannez votre projet WordPress maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...