Plateforme
wordpress
Composant
webmention
Corrigé dans
5.6.3
La vulnérabilité CVE-2026-0688 est de type Server-Side Request Forgery (SSRF) affectant le plugin Webmention pour WordPress. Elle permet à des attaquants authentifiés, même avec un accès de niveau Abonné, d'effectuer des requêtes web vers des destinations arbitraires, potentiellement interrogeant ou modifiant des services internes. Les versions affectées sont toutes les versions inférieures ou égales à 5.6.2. La vulnérabilité est corrigée dans la version 5.7.0.
Le plugin Webmention pour WordPress est vulnérable à la Falsification de Requêtes entre Serveurs (SSRF) dans toutes les versions jusqu'à et y compris la 5.6.2 via la fonction 'Tools::read'. Cette faille permet à des attaquants authentifiés, avec un accès de niveau Abonné ou supérieur, de faire des requêtes web vers des emplacements arbitraires originaires de l'application web. Cela peut être utilisé pour interroger et modifier des informations provenant de services internes, compromettant potentiellement la sécurité de l'installation WordPress. Le score CVSS est de 6.4, indiquant un risque modéré. La mise à jour vers la version 5.7.0 est cruciale pour atténuer cette vulnérabilité.
Un attaquant disposant d'un accès de niveau Abonné ou supérieur sur un site WordPress utilisant le plugin Webmention vulnérable peut exploiter cette vulnérabilité. L'attaquant peut envoyer des requêtes web spécialement conçues via le plugin, permettant au serveur WordPress de faire des requêtes à d'autres serveurs en son nom. Cela peut permettre l'accès à des ressources internes, la lecture de données confidentielles ou même l'exécution de commandes sur d'autres systèmes. L'authentification est requise, mais le niveau d'accès relativement bas de 'Abonné' élargit la surface d'attaque.
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
L'atténuation la plus efficace est de mettre à jour immédiatement le plugin Webmention vers la version 5.7.0 ou supérieure. Cette version inclut une correction pour la vulnérabilité SSRF. Si une mise à jour immédiate n'est pas possible, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès réseau depuis le serveur WordPress et la surveillance du trafic réseau à la recherche d'activités suspectes. De plus, examinez la configuration du plugin pour limiter les sources Webmention autorisées, si possible. Le défaut de mise à jour laisse votre site web vulnérable aux attaques.
Mettre à jour vers la version 5.7.0, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SSRF (Server-Side Request Forgery) est une vulnérabilité qui permet à un attaquant de manipuler un serveur pour qu'il effectue des requêtes vers des ressources auxquelles l'attaquant n'aurait pas directement accès.
Si vous utilisez une version de Webmention antérieure à la 5.7.0, votre site est vulnérable. Vérifiez la version du plugin dans votre tableau de bord d'administration WordPress.
Mettez en œuvre des mesures de sécurité supplémentaires telles que la restriction de l'accès réseau et la surveillance du trafic. Envisagez de limiter les sources Webmention autorisées.
Il existe des scanners de vulnérabilités qui peuvent détecter SSRF. Vous pouvez également effectuer des tests manuels, bien que cela nécessite une expertise technique.
La mise à jour vers la version 5.7.0 ou supérieure corrige la vulnérabilité SSRF connue. Cependant, il est toujours recommandé de maintenir tous les plugins et le cœur de WordPress à jour pour se protéger contre d'autres vulnérabilités potentielles.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.