Plateforme
wordpress
Composant
embed-calendly-scheduling
Corrigé dans
4.4.1
CVE-2026-0868 describes a Stored Cross-Site Scripting (XSS) vulnerability found in the EMC – Easily Embed Calendly Scheduling Features plugin for WordPress. This vulnerability allows authenticated attackers with contributor-level access or higher to inject arbitrary web scripts. The vulnerability affects versions up to and including 4.4, and a fix is available in version 4.5.
Le plugin EMC – Easily Embed Calendly Scheduling Features pour WordPress est vulnérable à une attaque de Cross-Site Scripting (XSS) persistante. Cette vulnérabilité réside dans la manière dont le plugin gère les attributs fournis par l'utilisateur au sein de son shortcode Calendly, affectant les versions jusqu'à et incluant la 4.4. Un manque de sanitisation et d'échappement des entrées insuffisant permet à un attaquant authentifié (avec un accès de contributeur ou supérieur) d'injecter des scripts web arbitraires dans des pages. Lorsque l'utilisateur accède à une page injectée, le script malveillant s'exécute, ce qui peut entraîner le vol d'informations, la manipulation de pages ou le piratage de comptes.
Un attaquant disposant de privilèges de contributeur ou supérieur sur un site WordPress utilisant le plugin EMC – Easily Embed Calendly Scheduling Features peut exploiter cette vulnérabilité. L'attaquant injecterait du code JavaScript malveillant dans un attribut du shortcode Calendly. Ce code serait stocké dans la base de données WordPress et exécuté chaque fois qu'un utilisateur visiterait la page modifiée. La relative facilité d'obtenir des privilèges de contributeur sur certains sites, combinée à l'adoption généralisée de plugins tels que celui-ci, rend cette vulnérabilité significative.
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
L'atténuation la plus efficace consiste à mettre à jour le plugin EMC – Easily Embed Calendly Scheduling Features à la dernière version disponible (supérieure à 4.4). Les développeurs du plugin ont publié une mise à jour qui corrige cette vulnérabilité en mettant en œuvre une sanitisation et un échappement des entrées appropriés. De plus, examinez les pages WordPress qui utilisent le shortcode Calendly pour identifier et supprimer tout code malveillant injecté. L'application du principe du moindre privilège, en veillant à ce que les utilisateurs n'aient que les autorisations nécessaires, peut également réduire les risques. Maintenir WordPress et tous les plugins à jour reste une pratique de sécurité fondamentale.
Mettre à jour vers la version 4.5, ou une version corrigée ultérieure
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le XSS est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des sites web consultés par d'autres utilisateurs. Ces scripts peuvent voler des informations, rediriger vers des sites web malveillants ou modifier le contenu de la page.
Si vous utilisez le plugin EMC – Easily Embed Calendly Scheduling Features dans des versions antérieures à la 4.4, votre site web est probablement vulnérable. Examinez les pages qui utilisent le shortcode Calendly à la recherche de code suspect.
Modifiez immédiatement les mots de passe de tous les utilisateurs disposant de privilèges d'administrateur et de contributeur. Analysez votre site web à la recherche de logiciels malveillants et supprimez tout code malveillant trouvé. Envisagez de restaurer une sauvegarde propre de votre site web.
Il existe plusieurs scanners de vulnérabilités WordPress qui peuvent détecter cette vulnérabilité. Vous pouvez également examiner manuellement le code source des pages qui utilisent le shortcode Calendly.
Vous pouvez trouver la dernière version du plugin EMC – Easily Embed Calendly Scheduling Features sur le référentiel de plugins WordPress ou sur le site web du développeur.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.