Plateforme
wordpress
Composant
ultimate-post
Corrigé dans
5.0.9
La vulnérabilité CVE-2026-1273 affecte le plugin Post Grid Gutenberg Blocks pour WordPress, utilisé pour créer des mises en page de type grille. Cette faille de type Server-Side Request Forgery (SSRF) permet à un attaquant authentifié, disposant d'un accès d'administrateur ou supérieur, d'effectuer des requêtes web vers des ressources arbitraires. Les versions concernées sont les versions 0.0.0 à 5.0.8 incluses. Une correction a été déployée dans la version 5.0.9.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant d'effectuer des requêtes vers des services internes qui ne sont normalement pas accessibles depuis l'extérieur du réseau. Cela peut inclure l'accès à des bases de données, des serveurs d'administration ou d'autres systèmes critiques. L'attaquant peut ainsi interroger et potentiellement modifier des informations sensibles. Le risque est amplifié par le fait que l'attaquant doit posséder un accès d'administrateur, mais une fois cet accès obtenu, la SSRF offre un moyen puissant de compromettre davantage le système. Bien que la vulnérabilité ne permette pas directement l'exécution de code, elle peut servir de tremplin pour d'autres attaques, comme la découverte d'informations sensibles ou l'escalade de privilèges.
Cette vulnérabilité a été publiée le 4 mars 2026. Il n'y a pas d'indications d'une exploitation active à ce jour, ni d'ajout au catalogue KEV de CISA. Aucun proof-of-concept public n'est actuellement disponible, ce qui réduit le risque d'exploitation à court terme. Cependant, la nature de la SSRF rend la vulnérabilité potentiellement exploitable si un attaquant parvient à obtenir un accès administrateur au site WordPress.
WordPress websites utilizing the Post Grid Gutenberg Blocks for News, Magazines, Blog Websites – PostX plugin, particularly those running versions 0.0.0 through 5.0.8, are at risk. Sites with weak password policies or compromised administrator accounts are especially vulnerable. Shared hosting environments where plugin updates are not consistently managed also face increased risk.
• wordpress / composer / npm:
grep -r 'ultp/v3/starter_dummy_post/' /var/www/html/wp-content/plugins/postx/• generic web:
curl -I https://your-wordpress-site.com/ultp/v3/starter_dummy_post/ | grep HTTP/1.1disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Post Grid Gutenberg Blocks vers la version 5.0.9 ou supérieure. Si la mise à jour est problématique, envisagez de désactiver temporairement le plugin ou de restreindre l'accès aux endpoints /ultp/v3/starterdummypost/ et /ultp/v3/starterimportcontent/ via un pare-feu applicatif web (WAF) ou un proxy inverse. Configurez également les règles de pare-feu pour bloquer les requêtes sortantes vers des adresses IP ou des domaines non approuvés. Surveillez les journaux d'accès et d'erreur du serveur web pour détecter des requêtes suspectes vers ces endpoints.
Mettre à jour vers la version 5.0.9, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1273 is a Server-Side Request Forgery vulnerability affecting the PostX WordPress plugin, allowing authenticated administrators to make arbitrary web requests.
You are affected if you are using PostX versions 0.0.0 through 5.0.8 and have administrator access.
Upgrade the PostX plugin to version 5.0.9 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
There is currently no evidence of active exploitation, but the SSRF nature of the vulnerability presents a potential risk.
Refer to the PostX plugin documentation and WordPress security announcements for the official advisory.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.