Plateforme
wordpress
Composant
clover-online-orders
Corrigé dans
1.6.1
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Smart Online Order for Clover. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié. Elle affecte les versions du plugin de 0.0.0 à 1.6.0. Une mise à jour vers une version corrigée est recommandée pour éliminer ce risque.
La vulnérabilité CSRF dans Smart Online Order for Clover permet à un attaquant de créer des requêtes web malveillantes qui, lorsqu'elles sont exécutées par un utilisateur connecté, peuvent modifier des données, effectuer des transactions ou modifier les paramètres du plugin. L'attaquant peut exploiter cette faille en incitant l'utilisateur à cliquer sur un lien malveillant ou à visiter un site web compromis. Le risque est amplifié si l'utilisateur dispose de privilèges d'administrateur, car cela pourrait permettre à l'attaquant de prendre le contrôle complet du plugin et potentiellement du site web WordPress hébergeant le plugin. Il est crucial de noter que les attaques CSRF sont souvent difficiles à détecter pour l'utilisateur final, ce qui rend la mitigation proactive essentielle.
La vulnérabilité CSRF dans Smart Online Order for Clover n'est pas encore répertoriée sur KEV, et son score EPSS n'est pas disponible. Il n'existe pas de preuve d'exploitation publique (PoC) connue à ce jour. La publication de la vulnérabilité a eu lieu le 2026-04-15. La probabilité d'exploitation dépendra de la disponibilité de PoCs et de l'intérêt des attaquants pour ce plugin.
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Smart Online Order for Clover vers une version corrigée dès que possible. En attendant la mise à jour, des mesures de mitigation temporaires peuvent être mises en place. L'implémentation de protections CSRF côté serveur, telles que la validation des tokens CSRF, peut réduire le risque. De plus, l'utilisation de politiques de sécurité de contenu (CSP) peut aider à prévenir l'exécution de scripts malveillants provenant de sources non fiables. Sur WordPress, l'utilisation de plugins de sécurité qui offrent une protection CSRF peut également être bénéfique. Après la mise à jour, vérifiez que les protections CSRF sont correctement activées et fonctionnent comme prévu en testant des requêtes sensibles.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
A CSRF (Cross-Site Request Forgery) attack forces an authenticated user to perform unintended actions on a web application without their knowledge.
Monitor your Clover account for unusual activity, such as unauthorized orders or changes to settings.
Change your password immediately and contact Clover and ZAYTECH support.
While there's no official fix, implementing good security practices, such as CSRF token validation and user education, can help reduce the risk.
You can contact the application developer, ZAYTECH, or Clover support for more information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.