Plateforme
wordpress
Composant
wp-posts-re-order
Corrigé dans
1.0.1
La vulnérabilité CVE-2026-1378 affecte le plugin WordPress WP Posts Re-order, permettant une attaque CSRF (Cross-Site Request Forgery). Cette faille permet à un attaquant non authentifié de modifier les paramètres du plugin, tels que les capacités, le tri automatique et le tri administrateur. Les versions concernées sont celles allant de 1.0.0 à 1.0 incluses. Une mise à jour vers une version corrigée est recommandée.
Un attaquant peut exploiter cette vulnérabilité CSRF pour modifier les paramètres de configuration du plugin WP Posts Re-order sans nécessiter d'authentification. Cela peut inclure la modification des permissions d'accès, l'ordre de tri des publications et d'autres paramètres critiques. En trompant un administrateur du site pour qu'il effectue une action malveillante (par exemple, en cliquant sur un lien spécialement conçu), l'attaquant peut compromettre l'intégrité des données et le fonctionnement du site WordPress. Le risque est accru si le plugin est utilisé pour gérer des publications sensibles ou si l'administrateur est susceptible de cliquer sur des liens suspects.
Cette vulnérabilité a été rendue publique le 2026-03-21. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques pourraient émerger, augmentant le risque d'exploitation. Il est donc crucial de prendre des mesures de mitigation rapidement.
WordPress websites utilizing the WP Posts Re-order plugin, particularly those with shared hosting environments or where administrators are susceptible to social engineering attacks, are at increased risk. Sites with multiple administrators or those lacking robust access control measures are also more vulnerable.
• wordpress / composer / npm:
grep -r 'cpt_plugin_options()' /var/www/html/wp-content/plugins/wp-posts-re-order/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-posts-re-order'• wordpress / composer / npm:
wp plugin update wp-posts-re-order --alldisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour le plugin WP Posts Re-order vers une version corrigée dès que possible. En attendant, des mesures de protection contre les CSRF peuvent être mises en place. Il est possible d'utiliser un plugin de sécurité WordPress qui offre une protection CSRF globale. De plus, assurez-vous que tous les utilisateurs disposant de privilèges d'administrateur sont conscients des risques liés aux attaques CSRF et évitent de cliquer sur des liens suspects. Après la mise à jour, vérifiez que les paramètres du plugin sont toujours configurés correctement et qu'il n’y a pas de modifications inattendues.
Aucune correction connue n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1378 est une vulnérabilité CSRF (Cross-Site Request Forgery) affectant le plugin WP Posts Re-order pour WordPress, permettant à un attaquant de modifier les paramètres du plugin sans authentification.
Oui, si vous utilisez le plugin WP Posts Re-order dans une version comprise entre 1.0.0 et 1.0 incluses, vous êtes potentiellement affecté par cette vulnérabilité.
La solution recommandée est de mettre à jour le plugin WP Posts Re-order vers la dernière version disponible. En attendant, appliquez des mesures de protection CSRF.
À ce jour, il n'y a pas d'indications d'une exploitation active, mais le risque augmente avec la publication de preuves de concept (PoC).
Consultez le site web du plugin WP Posts Re-order ou le dépôt WordPress pour obtenir les dernières informations et mises à jour concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.