Plateforme
wordpress
Composant
link-whisper
Corrigé dans
0.9.1
0.9.1
La vulnérabilité CVE-2026-1900 affecte le plugin Link Whisper Free pour WordPress. Elle réside dans un point de terminaison REST accessible publiquement qui permet à des utilisateurs non authentifiés de modifier les paramètres du plugin. Cette faille peut potentiellement compromettre la configuration du plugin et la sécurité du site web. Les versions concernées sont celles comprises entre 0.0.0 et 0.9.1 incluses. Une version corrigée, 0.9.1, est désormais disponible.
La vulnérabilité CVE-2026-1900 dans le plugin Link Whisper Free pour WordPress expose une faille critique : l'accès non autorisé. L'absence d'une vérification de capacité dans une fonction permet à des attaquants non authentifiés d'effectuer des actions qu'ils ne devraient pas pouvoir réaliser. Cela peut entraîner des modifications malveillantes, la création de liens internes nuisibles ou des violations de données potentielles. La gravité est élevée, en particulier pour les sites qui dépendent de Link Whisper pour la gestion des liens internes et le SEO, car une exploitation réussie pourrait compromettre l'intégrité du site et la qualité du contenu. Cette vulnérabilité affecte toutes les versions du plugin antérieures à la 0.9.1.
Un attaquant peut exploiter cette vulnérabilité en envoyant des requêtes HTTP spécifiques ciblant la fonction vulnérable. L'absence d'exigences d'authentification signifie que l'attaquant peut envoyer ces requêtes de n'importe où sans identifiants WordPress. Le succès de l'exploitation dépend des capacités de la fonction. La faible barrière à l'entrée signifie qu'un attaquant peut contourner les contrôles d'accès standard de WordPress et exécuter des actions en tant qu'administrateur. La difficulté d'exploitation est faible, nécessitant un minimum d'expertise technique ou d'accès préalable au site web.
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
Vecteur CVSS
L'atténuation recommandée pour CVE-2026-1900 est de mettre à jour immédiatement Link Whisper Free à la version 0.9.1 ou ultérieure. Cette mise à jour corrige l'absence de vérification de capacité qui permet un accès non autorisé. Une action rapide est cruciale pour protéger votre site web contre d'éventuelles exploitations. De plus, examinez les permissions des utilisateurs WordPress pour vous assurer que seuls les utilisateurs autorisés ont un accès administratif. Surveiller régulièrement les journaux de votre site web à la recherche d'activités suspectes peut également aider à détecter et à répondre à d'éventuelles attaques.
Update to version 0.9.1, or a newer patched version
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un identifiant pour une vulnérabilité de sécurité dans le plugin Link Whisper Free de WordPress.
Cela permet à des attaquants non authentifiés de réaliser des actions administratives non autorisées.
Mettez à jour Link Whisper Free à la version 0.9.1 ou ultérieure immédiatement.
Examinez les permissions des utilisateurs WordPress et surveillez les journaux de votre site web.
Consultez la page de détails du CVE-2026-1900 sur les bases de données de vulnérabilités comme le NIST NVD.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.