Plateforme
wordpress
Composant
sr-wp-minify-html
Corrigé dans
2.2
La vulnérabilité CVE-2026-1392 affecte le plugin WordPress SR WP Minify HTML. Elle se manifeste par une faille de Cross-Site Request Forgery (CSRF) due à l'absence de validation de nonce dans la fonction srminifyhtml_theme(). Cette faille permet à un attaquant non authentifié de modifier les paramètres du plugin, à condition de pouvoir inciter un administrateur du site à effectuer une action, comme cliquer sur un lien malveillant. Les versions concernées sont les versions de 0.0.0 à 2.1 inclus.
Un attaquant exploitant cette vulnérabilité CSRF peut modifier les paramètres du plugin SR WP Minify HTML sans nécessiter d'authentification. Cela peut entraîner des modifications de la configuration du site web, affectant potentiellement la performance et la sécurité. Par exemple, un attaquant pourrait modifier les règles de minification, injecter du code malveillant ou désactiver des fonctionnalités de sécurité. L'impact est amplifié si l'administrateur du site est régulièrement victime d'attaques de phishing ou d'ingénierie sociale, augmentant la probabilité qu'il clique sur un lien malveillant. La modification des paramètres du plugin peut également avoir des conséquences imprévisibles sur le comportement du site web.
Le CVE-2026-1392 a été publié le 2026-03-21. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme modérée, car elle nécessite une interaction de l'administrateur du site. Aucun Proof of Concept (PoC) public n'est actuellement disponible, mais la nature de la vulnérabilité CSRF la rend potentiellement exploitable.
Websites using the SR WP Minify HTML plugin, particularly those with shared hosting environments or lacking robust administrator access controls, are at increased risk. Sites where administrators frequently click on links from untrusted sources are also more vulnerable.
• wordpress / composer / npm:
grep -r 'sr_minify_html_theme()' /var/www/html/wp-content/plugins/sr-wp-minify-html/ | grep -i 'nonce'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=sr_minify_html_theme&nonce=invalid | grep -i '200 OK'disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin SR WP Minify HTML vers la version 2.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le plugin. En attendant la mise à jour, il est possible de limiter l'impact en mettant en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes suspectes. Il est également conseillé de sensibiliser les administrateurs du site aux risques de phishing et d'ingénierie sociale afin de les encourager à vérifier attentivement les liens avant de cliquer dessus. Après la mise à jour, vérifiez que les paramètres du plugin sont conformes à vos exigences de sécurité.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1392 est une vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin WordPress SR WP Minify HTML, permettant à un attaquant de modifier les paramètres du plugin sans authentification.
Oui, si vous utilisez le plugin SR WP Minify HTML dans les versions 0.0.0 à 2.1, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin SR WP Minify HTML vers la version 2.2 ou supérieure pour corriger cette vulnérabilité. En attendant, désactivez le plugin ou mettez en place des règles WAF.
À l'heure actuelle, il n'y a aucune indication d'une exploitation active de CVE-2026-1392, mais la vulnérabilité reste potentiellement exploitable.
Consultez le site web du développeur du plugin SR WP Minify HTML ou le dépôt GitHub pour obtenir des informations officielles sur cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.