Plateforme
wordpress
Composant
newsletter
Corrigé dans
9.1.1
La vulnérabilité CVE-2026-1051 affecte le plugin WordPress « Newsletter – Send awesome emails from WordPress » jusqu’à la version 9.1.0. Cette faille de type CSRF (Cross-Site Request Forgery) permet à un attaquant non authentifié de désabonner des abonnés aux newsletters en manipulant des requêtes. La vulnérabilité est due à une validation incorrecte des tokens de sécurité (nonce) dans la fonction hooknewsletteraction(). Une mise à jour vers la version 9.1.1 corrige ce problème.
Un attaquant peut exploiter cette vulnérabilité CSRF pour désabonner des utilisateurs de votre liste de diffusion sans leur consentement. Cela peut entraîner une perte de clients, une diminution de l'engagement et une atteinte à la réputation. L'attaquant doit simplement inciter un utilisateur authentifié (connecté) à cliquer sur un lien malveillant. Le risque est accru si vous utilisez Newsletter pour des communications sensibles ou critiques. Bien que l'impact direct soit limité à la désinscription, une attaque CSRF réussie peut être une étape préliminaire à d'autres attaques plus graves, comme la modification de paramètres de configuration ou l'exécution de code malveillant.
Cette vulnérabilité a été publiée le 2026-01-20. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature CSRF de la vulnérabilité la rend potentiellement exploitable. Il n'y a pas d'entrée dans le KEV (Known Exploited Vulnerabilities) à ce jour. Des preuves de concept (PoC) pourraient être développées et rendues publiques, augmentant le risque d'exploitation.
WordPress sites utilizing the Newsletter plugin are at risk. Specifically, sites with a large subscriber base or those relying heavily on email marketing are more vulnerable. Shared hosting environments where plugin updates are managed by the hosting provider may also be at increased risk if updates are not applied promptly.
• wordpress / composer / npm:
grep -r 'hook_newsletter_action()' /var/www/html/wp-content/plugins/newsletter/• wordpress / composer / npm:
wp plugin list | grep newsletter• wordpress / composer / npm:
wp plugin update newsletter --all• generic web: Check WordPress plugin directory for reports of CVE-2026-1051 exploitation.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour le plugin Newsletter vers la version 9.1.1 ou supérieure. Si la mise à jour n'est pas immédiatement possible, vous pouvez temporairement atténuer le risque en implémentant des mesures de sécurité supplémentaires. Assurez-vous que tous les utilisateurs de votre site WordPress utilisent des mots de passe forts et uniques. Activez l'authentification à deux facteurs (2FA) pour une sécurité accrue. Envisagez d'utiliser un plugin de sécurité WordPress qui offre une protection CSRF renforcée. Vérifiez après la mise à jour que les abonnements aux newsletters sont toujours actifs et que les paramètres de sécurité sont correctement configurés.
Mettre à jour vers la version 9.1.1, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1051 est une vulnérabilité CSRF affectant le plugin Newsletter WordPress, permettant à un attaquant de désabonner des abonnés via des requêtes forgées. La vulnérabilité est présente dans les versions inférieures à 9.1.1.
Si vous utilisez le plugin Newsletter WordPress dans une version inférieure à 9.1.1, vous êtes potentiellement affecté par cette vulnérabilité CSRF.
La solution est de mettre à jour le plugin Newsletter vers la version 9.1.1 ou supérieure. En attendant, renforcez vos mesures de sécurité WordPress.
À ce jour, aucune exploitation active n'a été confirmée, mais la nature CSRF de la vulnérabilité la rend potentiellement exploitable.
Consultez le site web du développeur du plugin Newsletter WordPress ou le dépôt GitHub du plugin pour obtenir les informations les plus récentes et les notes de version.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.