Perfmatters <= 2.5.9.1 - Suppression de fichier arbitraire authentifiée (Abonné+) via le paramètre 'delete'
Plateforme
wordpress
Composant
perfmatters
Corrigé dans
2.5.10
La CVE-2026-4350 est une vulnérabilité d'accès arbitraire aux fichiers dans le plugin Perfmatters pour WordPress. Elle permet à un attaquant authentifié de supprimer des fichiers arbitraires sur le serveur en utilisant des séquences de "path traversal". Les versions affectées sont Perfmatters 0–2.5.9.1. La vulnérabilité est corrigée dans la version 2.6.0.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
Le plugin Perfmatters pour WordPress est vulnérable à la suppression arbitraire de fichiers via un parcours de chemin (path traversal). Cette vulnérabilité affecte toutes les versions jusqu'à et y compris la 2.5.9.1. Le problème réside dans la méthode PMCS::actionhandler(), qui traite le paramètre $GET['delete'] sans validation, vérifications d'autorisation ou vérification de nonce appropriées. Le nom de fichier non validé est concaténé avec le chemin du répertoire de stockage et transmis à la fonction unlink(). Cela permet à des attaquants authentifiés, avec un accès de niveau Abonné ou supérieur, de supprimer des fichiers arbitraires sur le serveur, compromettant potentiellement l'intégrité du site web et permettant l'exécution de code malveillant. Le score CVSS pour cette vulnérabilité est de 8.1, indiquant une sévérité élevée.
Contexte d'Exploitation
Un attaquant authentifié disposant de privilèges d'Abonné ou supérieur peut exploiter cette vulnérabilité en envoyant une requête HTTP malveillante incluant un paramètre delete avec un chemin de fichier relatif ou absolu pointant vers un fichier qu'il souhaite supprimer. Par exemple, une URL comme https://example.com/wp-admin/admin-ajax.php?action=pmclearcache&delete=../../../../etc/passwd pourrait supprimer le fichier /etc/passwd sur le serveur (si les permissions le permettent). L'absence de validation dans la fonction PMCS::action_handler() permet aux attaquants de manipuler le chemin du fichier et de supprimer tout fichier auquel le processus WordPress a accès.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.11% (percentile 30%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La solution à cette vulnérabilité est de mettre à jour le plugin Perfmatters à la version 2.6.0 ou ultérieure. Cette version inclut les corrections nécessaires pour valider et assainir les entrées utilisateur avant de les utiliser dans des opérations de manipulation de fichiers. De plus, il est recommandé de revoir les permissions des utilisateurs WordPress et de restreindre l'accès aux rôles qui ne nécessitent pas la capacité de supprimer des fichiers. La mise en œuvre d'un système de validation de nonce pour les actions sensibles peut aider à prévenir les attaques de falsification de requêtes intersites (CSRF) qui pourraient exploiter cette vulnérabilité. Des audits de sécurité périodiques du site web sont une pratique recommandée pour identifier et corriger les vulnérabilités potentielles.
Comment corriger
Mettre à jour vers la version 2.6.0, ou une version corrigée plus récente
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-4350 — Path Traversal dans Perfmatters ?
Une attaque de parcours de chemin est une technique utilisée par les attaquants pour accéder à des fichiers ou des répertoires en dehors du répertoire web prévu, en utilisant des séquences comme '..' pour naviguer dans la structure de répertoires.
Suis-je affecté(e) par CVE-2026-4350 dans Perfmatters ?
Mettre à jour le plugin Perfmatters à la version 2.6.0 ou ultérieure corrige la vulnérabilité et protège votre site web contre les attaques potentielles.
Comment corriger CVE-2026-4350 dans Perfmatters ?
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de limiter les privilèges des utilisateurs WordPress et de surveiller votre site web à la recherche d'activités suspectes.
CVE-2026-4350 est-il activement exploité ?
Mettez en œuvre des pratiques de codage sécurisées, notamment la validation et l'assainissement de toutes les entrées utilisateur, et utilisez un système de validation de nonce pour les actions sensibles.
Où trouver l'avis officiel de Perfmatters pour CVE-2026-4350 ?
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans la base de données de vulnérabilités CVE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4350
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.