Scanner gratuitement
Analyse en attenteCVE-2026-6929

CVE-2026-6929: SQL Injection in JoomSport WordPress Plugin

Plateforme

wordpress

Composant

joomsport-sports-league-results-management

Corrigé dans

5.7.8

Voir sur NVD
Sauvegarder

Le plugin JoomSport pour WordPress, utilisé pour la gestion de sports, d'équipes et de ligues, présente une vulnérabilité de type SQL Injection. Cette faille, exploitée via le paramètre 'sortf', permet à des attaquants non authentifiés d'injecter des requêtes SQL malveillantes dans les requêtes existantes. Les versions affectées sont celles comprises entre 0.0.0 et 5.7.7 incluses. Une correction est disponible dans la version 5.7.8.

WordPress

Détecte cette CVE dans ton projet

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement

Impact et Scénarios d'Attaque

L'exploitation réussie de cette vulnérabilité SQL Injection permet à un attaquant non authentifié d'extraire des données sensibles de la base de données WordPress. Cela peut inclure des informations sur les utilisateurs, les équipes, les ligues, les scores et potentiellement d'autres données confidentielles stockées dans la base de données. Un attaquant pourrait également modifier ou supprimer des données, compromettant ainsi l'intégrité du site web. Bien qu'il n'y ait pas de rapport d'exploitation publique direct, le potentiel d'extraction de données sensibles rend cette vulnérabilité préoccupante, en particulier pour les sites web qui gèrent des informations personnelles ou financières.

Contexte d'Exploitation

Cette vulnérabilité a été publiée le 13 mai 2026. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature de la vulnérabilité SQL Injection et de la disponibilité potentielle d'outils d'exploitation. Il n'y a pas de preuves d'exploitation active connues à ce jour, mais la vulnérabilité est publique et pourrait être exploitée par des acteurs malveillants. La vulnérabilité n'est pas répertoriée sur KEV ou EPSS.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

CISA SSVC

Exploitationnone
Automatableyes
Technical Impactpartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityNoneRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Aucun — aucun impact sur l'intégrité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantjoomsport-sports-league-results-management
Fournisseurwordfence
Version minimale0.0.0
Version maximale5.7.7
Corrigé dans5.7.8

Classification de Faiblesse (CWE)

CWE-89

Chronologie

  1. Reserved
  2. Publiée

Mitigation et Contournements

La mitigation principale consiste à mettre à jour le plugin JoomSport vers la version 5.7.8 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement le plugin ou de restreindre l'accès au paramètre 'sortf'. En attendant la mise à jour, l'utilisation d'un pare-feu applicatif web (WAF) configuré pour bloquer les injections SQL peut offrir une protection supplémentaire. Vérifiez également les règles de pare-feu pour bloquer les requêtes suspectes ciblant le paramètre 'sortf'. Après la mise à jour, vérifiez l'intégrité du plugin en comparant son hachage MD5 avec celui fourni par le développeur.

Comment corriger

Mettre à jour vers la version 5.7.8, ou une version corrigée plus récente

Questions fréquentes

Quel est le CVE-2026-6929 — SQL Injection dans JoomSport ?

Le CVE-2026-6929 est une vulnérabilité de type SQL Injection dans le plugin JoomSport pour WordPress, permettant à des attaquants non authentifiés d'extraire des données sensibles de la base de données. Elle affecte les versions de 0.0.0 à 5.7.7.

Suis-je affecté par le CVE-2026-6929 dans JoomSport ?

Vous êtes affecté si vous utilisez le plugin JoomSport pour WordPress et que votre version est inférieure à 5.7.8. Vérifiez la version installée et mettez à jour si nécessaire.

Comment corriger le CVE-2026-6929 dans JoomSport ?

La correction consiste à mettre à jour le plugin JoomSport vers la version 5.7.8 ou supérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de désactiver le plugin ou d'utiliser un WAF.

Le CVE-2026-6929 est-il activement exploité ?

À ce jour, il n'y a pas de preuves d'exploitation active connues, mais la vulnérabilité est publique et pourrait être exploitée.

Où puis-je trouver l'avis officiel de JoomSport pour le CVE-2026-6929 ?

Consultez le site web de JoomSport ou le dépôt GitHub du plugin pour obtenir l'avis officiel et les instructions de mise à jour.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
WordPress

Détecte cette CVE dans ton projet

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement
en directfree scan

Scannez votre projet WordPress maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...