Plateforme
wordpress
Composant
conditional-menus
Corrigé dans
1.2.7
La vulnérabilité CVE-2026-1032 affecte le plugin Conditional Menus pour WordPress. Elle se manifeste par une faille de Cross-Site Request Forgery (CSRF) permettant à un attaquant non authentifié de modifier les affectations de menus conditionnels. Cette vulnérabilité touche les versions 1.0.0 à 1.2.6 du plugin. Une version corrigée, 1.2.7, est désormais disponible.
Un attaquant peut exploiter cette vulnérabilité CSRF en créant une requête malveillante et en incitant un administrateur du site à la soumettre, par exemple, en cliquant sur un lien piégé. La modification des affectations de menus conditionnels peut entraîner des redirections non désirées, des modifications de contenu ou d'autres actions malveillantes sur le site WordPress. L'impact est amplifié si l'administrateur a des privilèges étendus, car il pourrait potentiellement compromettre l'ensemble du site. Bien que la vulnérabilité ne permette pas l'exécution de code arbitraire, elle offre un moyen d'altérer le comportement du site et de tromper les utilisateurs.
Cette vulnérabilité a été publiée le 26 mars 2026. Il n'y a pas d'indication d'exploitation active à ce jour. Aucun PoC public n'est connu. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC et d'exploitation confirmée.
WordPress sites utilizing the Conditional Menus plugin, particularly those with administrators who are not adequately trained in security best practices, are at risk. Shared hosting environments where multiple websites share the same server resources could also be affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'save_options' /var/www/html/wp-content/plugins/conditional-menus/• generic web:
curl -I https://example.com/wp-admin/admin-ajax.php?action=conditional_menus_save_options&... # Check for missing noncedisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin Conditional Menus vers la version 1.2.7 ou supérieure, qui corrige la vulnérabilité CSRF. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des administrateurs et en sensibilisant les utilisateurs aux risques de phishing. L'utilisation d'un plugin de sécurité WordPress peut également aider à détecter et à bloquer les requêtes CSRF malveillantes. Après la mise à jour, vérifiez que les affectations de menus conditionnels n'ont pas été modifiées de manière inattendue.
Mettre à jour vers la version 1.2.7, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1032 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin Conditional Menus pour WordPress, permettant à un attaquant de modifier les affectations de menus conditionnels.
Oui, si vous utilisez Conditional Menus WordPress dans les versions 1.0.0 à 1.2.6, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin Conditional Menus vers la version 1.2.7 ou supérieure pour corriger la vulnérabilité CSRF.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de CVE-2026-1032, mais il est important de mettre à jour rapidement pour se protéger.
Consultez l'avis officiel de WordPress sur le site web de WordPress.org pour plus d'informations sur CVE-2026-1032 et les mesures correctives.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.