Scanner gratuitement
Analyse en attenteCVE-2026-6962

CVE-2026-6962: XSS dans Cost of Goods WooCommerce

Plateforme

wordpress

Composant

cost-of-goods-for-woocommerce

Corrigé dans

4.1.1

Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-6962 affecte le plugin Cost of Goods: Product Cost & Profit Calculator pour WordPress. Elle se manifeste par une faille de Cross-Site Scripting (XSS) stockée, permettant à des attaquants authentifiés d'injecter des scripts malveillants. Les versions concernées sont celles inférieures ou égales à 4.1.0. Une correction est disponible dans la version 4.1.1.

WordPress

Détecte cette CVE dans ton projet

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement

Impact et Scénarios d'Attaque

Un attaquant disposant d'un accès de niveau contributeur ou supérieur peut exploiter cette vulnérabilité XSS stockée pour injecter du code JavaScript arbitraire dans les pages WordPress. Ce code s'exécutera ensuite dans le navigateur de tout utilisateur accédant à la page compromise. Les conséquences peuvent inclure le vol de cookies de session, le détournement d'utilisateurs vers des sites malveillants, la modification du contenu de la page et potentiellement le contrôle de l'application WordPress. Bien que l'accès nécessite un compte contributeur, la portée de l'impact peut être significative, affectant tous les utilisateurs ayant accès à la page compromise.

Contexte d'Exploitation

La vulnérabilité CVE-2026-6962 a été publiée le 12 mai 2026. Aucune information sur une exploitation active ou sur sa présence sur KEV n'est disponible à ce jour. Le score EPSS n'a pas encore été évalué. Il est recommandé de surveiller les sources d'informations sur les menaces pour détecter d'éventuelles campagnes d'exploitation.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

EPSS

0.03% (percentile 10%)

CISA SSVC

Exploitationnone
Automatisableno
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N6.4MEDIUMAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeChangedImpact au-delà du composant affectéConfidentialityLowRisque d'exposition de données sensiblesIntegrityLowRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality
Faible — accès partiel ou indirect à certaines données.
Integrity
Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantcost-of-goods-for-woocommerce
Fournisseurwordfence
Version maximale4.1.0
Corrigé dans4.1.1

Classification de Faiblesse (CWE)

CWE-79

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour

Mitigation et Contournements

La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour le plugin Cost of Goods vers la version 4.1.1 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement les shortcodes 'algwccogproductcost' et 'algwccogproductprofit' via le fichier .htaccess en ajoutant des règles de redirection. En complément, configurez un Web Application Firewall (WAF) pour bloquer les requêtes contenant des charges utiles XSS suspectes. Vérifiez que l'échappement des données utilisateur est correctement implémenté dans le code du plugin si des modifications sont apportées.

Comment corriger

Mettre à jour vers la version 4.1.1, ou une version corrigée plus récente

Questions fréquentes

Que signifie CVE-2026-6962 — XSS dans Cost of Goods WooCommerce ?

CVE-2026-6962 décrit une vulnérabilité de Cross-Site Scripting (XSS) stockée dans le plugin Cost of Goods pour WooCommerce, permettant l'injection de scripts malveillants par des attaquants authentifiés.

Suis-je affecté par CVE-2026-6962 dans Cost of Goods WooCommerce ?

Vous êtes affecté si vous utilisez le plugin Cost of Goods pour WooCommerce et que votre version est inférieure ou égale à 4.1.0. Vérifiez votre version actuelle et mettez à jour si nécessaire.

Comment corriger CVE-2026-6962 dans Cost of Goods WooCommerce ?

La solution est de mettre à jour le plugin Cost of Goods vers la version 4.1.1 ou supérieure. Si la mise à jour n'est pas possible immédiatement, des mesures d'atténuation temporaires peuvent être appliquées.

CVE-2026-6962 est-il activement exploité ?

À ce jour, aucune information sur une exploitation active de CVE-2026-6962 n'est disponible, mais il est important de rester vigilant et de surveiller les sources d'informations sur les menaces.

Où puis-je trouver l'avis officiel de Cost of Goods pour CVE-2026-6962 ?

Consultez le site web du développeur du plugin Cost of Goods ou le dépôt GitHub du plugin pour obtenir l'avis officiel concernant CVE-2026-6962.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
WordPress

Détecte cette CVE dans ton projet

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement
en directfree scan

Scannez votre projet WordPress maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...