Plateforme
wordpress
Composant
table-of-contents-creator
Corrigé dans
1.6.5
Une vulnérabilité de Cross-Site Scripting (XSS) Refléché a été découverte dans le plugin Table of Contents Creator. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant dans les pages web générées par le plugin, potentiellement compromettant la sécurité des utilisateurs. Elle affecte les versions du plugin antérieures à 1.6.4.1, et une solution est disponible.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut conduire au vol de cookies de session, au détournement de session, à la modification du contenu de la page web, ou à la redirection de l'utilisateur vers des sites malveillants. L'attaquant peut également utiliser cette vulnérabilité pour lancer des attaques de phishing ciblées contre les utilisateurs du site web. Le risque est amplifié si le plugin est utilisé sur des sites web sensibles ou contenant des informations confidentielles.
Cette vulnérabilité est de type XSS Refléché, ce qui signifie que l'attaque nécessite l'interaction de l'utilisateur (par exemple, en cliquant sur un lien malveillant). Aucune information concernant une exploitation active n'est disponible à ce jour. La vulnérabilité a été publiée le 2026-03-19. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une interaction utilisateur.
Websites using the Table of Contents Creator plugin, particularly those with user authentication or handling sensitive data, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may be particularly vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/table-of-contents-creator/• wordpress / composer / npm:
wp plugin list --status=all | grep "table-of-contents-creator"• wordpress / composer / npm:
wp plugin update table-of-contents-creatordisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Table of Contents Creator vers la version 1.6.4.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible d'appliquer des mesures de mitigation temporaires, telles que la désactivation du plugin ou la mise en place de règles de filtrage côté serveur (WAF) pour bloquer les requêtes contenant des scripts potentiellement malveillants. Vérifiez également les entrées utilisateur et validez-les rigoureusement avant de les afficher sur la page web.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68836 is a Reflected XSS vulnerability in the Table of Contents Creator WordPress plugin, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using Table of Contents Creator versions prior to 1.6.4.1. Upgrade immediately to mitigate the risk.
Upgrade the Table of Contents Creator plugin to version 1.6.4.1 or later. Consider input validation and WAF rules as additional protections.
There are currently no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the plugin developer's website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.