Plateforme
wordpress
Composant
church-admin
Corrigé dans
5.0.29
La vulnérabilité CVE-2026-0682 affecte le plugin Church Admin pour WordPress, permettant une attaque de type Server-Side Request Forgery (SSRF). Cette faille permet à un attaquant authentifié, disposant de droits d'administrateur, de lancer des requêtes web arbitraires via l'application. Les versions concernées sont celles comprises entre 0.0.0 et 5.0.28 incluses. Une correction a été déployée dans la version 5.0.29.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant d'effectuer des requêtes HTTP vers des ressources internes qui ne sont normalement pas accessibles depuis l'extérieur. Cela peut inclure l'accès à des informations sensibles stockées dans des bases de données internes, l'interrogation d'API internes, ou même la modification de données. L'attaquant doit posséder des privilèges d'administrateur sur le site WordPress pour exploiter cette faille. Bien que la sévérité soit classée comme faible, l'impact potentiel sur la confidentialité et l'intégrité des données internes ne doit pas être sous-estimé, particulièrement si des services critiques sont exposés via des API internes.
Cette vulnérabilité a été publiée le 17 janvier 2026. Aucune preuve d'exploitation active n'est actuellement disponible. Le score CVSS de 2.2 indique une faible probabilité d'exploitation. Il n'y a pas d'entrée dans le KEV (Known Exploited Vulnerabilities) de CISA à ce jour. Aucun proof-of-concept public n'a été identifié.
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Church Admin vers la version 5.0.29 ou supérieure. En attendant la mise à jour, une solution de contournement possible consiste à configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des URLs suspectes ou non autorisées. Il est également recommandé de restreindre les privilèges des utilisateurs WordPress et de surveiller attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Vérifiez après la mise à jour que le plugin est correctement mis à jour et qu'il n'y a pas de conflits avec d'autres plugins ou thèmes.
Mettre à jour vers la version 5.0.29, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-0682 is a Server-Side Request Forgery vulnerability in the Church Admin WordPress plugin, allowing authenticated administrators to make arbitrary web requests. It affects versions 0.0.0–5.0.28 and has a CVSS score of 2.2 (LOW).
You are affected if your WordPress site uses the Church Admin plugin and is running version 5.0.28 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Church Admin plugin to version 5.0.29 or later. If immediate upgrade is not possible, implement a WAF rule to block suspicious outbound requests.
Currently, there is no public evidence of active exploitation of CVE-2026-0682, but it's crucial to apply the patch to mitigate potential risks.
Refer to the official WordPress security advisory and the Church Admin plugin's website for the latest information and updates regarding CVE-2026-0682.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.