Plateforme
wordpress
Composant
ays-popup-box
Corrigé dans
5.5.0
5.5.1
Le plugin Popup Box – Create Countdown, Coupon, Video, Contact Form Popups pour WordPress est vulnérable à une attaque de Cross-Site Scripting (XSS) stockée. Cette faille, présente dans les versions jusqu'à 5.5.0, est due à une validation insuffisante des entrées et à un échappement incorrect des sorties. L'exploitation réussie permet à un attaquant non authentifié d'injecter des scripts web arbitraires qui s'exécuteront à chaque fois qu'un utilisateur accédera à une page compromise. La mise à jour vers la version 5.5.0 corrige cette vulnérabilité.
Un attaquant peut exploiter cette vulnérabilité XSS stockée pour injecter du code JavaScript malveillant dans les pages du site WordPress. Ce code peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites web malveillants, modifier le contenu de la page ou même exécuter des actions au nom de l'utilisateur connecté. Le risque est accru si le plugin est utilisé pour afficher des popups sur des pages sensibles, telles que les pages de connexion ou de paiement. L'impact potentiel peut inclure le vol d'informations d'identification, la manipulation des utilisateurs et la compromission de l'intégrité du site web.
Cette vulnérabilité a été rendue publique le 8 avril 2026. Il n'y a pas d'indications d'exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques pourraient être disponibles, ce qui pourrait augmenter le risque d'exploitation à l'avenir. Il est important de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
Vecteur CVSS
La mesure de mitigation principale est de mettre à jour le plugin Popup Box vers la version 5.5.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le plugin. En attendant, il est possible de mettre en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes contenant des charges utiles XSS suspectes. Il est également conseillé de renforcer les politiques de sécurité du contenu (CSP) pour limiter les sources de scripts autorisées. Après la mise à jour, vérifiez l'intégrité du plugin et assurez-vous qu'il n'y a pas de scripts malveillants injectés.
Update to version 5.5.0, or a newer patched version
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) is a type of security vulnerability that allows attackers to inject malicious scripts into legitimate websites. These scripts execute in the user's browser, potentially allowing the attacker to steal sensitive information or perform actions on behalf of the user.
If you are using a version of the 'Popup Box' plugin prior to 5.5.0, you are likely affected. Review your server logs for suspicious activity.
CVSS (Common Vulnerability Scoring System) is a standard for assessing the severity of security vulnerabilities. A score of 7.2 indicates a medium-high risk.
CSP is an additional layer of security that allows website administrators to define which resources (such as scripts, images, and styles) can be loaded on a web page. This helps prevent XSS attacks by restricting the execution of unauthorized scripts.
If you suspect your website has been compromised, immediately update the plugin to the latest version, scan your website for malware, and consider consulting a security professional for assistance.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.