Plateforme
wordpress
Composant
da10
Corrigé dans
11.2.1
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le thème Dating pour WordPress. Cette faille, présente dans les versions jusqu'à et y compris 11.2.0, est due à une validation incorrecte ou absente des jetons de sécurité (nonces). Elle permet à un attaquant non authentifié de réaliser des actions non autorisées sur un site WordPress, à condition de pouvoir inciter un administrateur à effectuer une action spécifique, comme cliquer sur un lien malveillant.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant de réaliser des actions sur le site WordPress en se faisant passer pour un utilisateur authentifié, notamment un administrateur. Cela peut inclure la modification de paramètres de configuration, la suppression de contenu, l'installation de plugins malveillants ou même la prise de contrôle complète du site. Le risque est particulièrement élevé si l'administrateur du site est régulièrement amené à effectuer des actions sensibles via l'interface d'administration.
Cette vulnérabilité a été publiée le 23 décembre 2025. Il n'y a pas d'indication d'exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'a été identifié. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Websites using the Dating WordPress theme, particularly those with active administrators who regularly log in and manage the site, are at risk. Shared hosting environments where multiple websites share the same server resources could also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'wp_nonce_url' /var/www/html/wp-content/themes/dating/• generic web:
curl -I https://example.com/admin/ | grep -i 'referer'disclosure
Statut de l'Exploit
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour le thème Dating vers une version corrigée. Si la mise à jour n'est pas immédiatement possible, il est recommandé de renforcer la sécurité du site WordPress en activant l'authentification à deux facteurs pour tous les utilisateurs, en particulier les administrateurs. L'utilisation d'un plugin de sécurité WordPress peut également aider à détecter et à bloquer les tentatives d'exploitation CSRF. Vérifiez après la mise à jour que les jetons de sécurité (nonces) sont correctement validés pour toutes les actions sensibles du thème.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22342 décrit une vulnérabilité CSRF dans le thème Dating pour WordPress, permettant à un attaquant d'effectuer des actions non autorisées. La CVSS est de 4.3 (MODÉRÉ).
Vous êtes affecté si vous utilisez le thème Dating WordPress dans une version inférieure ou égale à 11.2.0.
La solution est de mettre à jour le thème Dating vers une version corrigée. Renforcez également la sécurité de votre site avec l'authentification à deux facteurs.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de CVE-2026-22342, mais il est important de corriger la vulnérabilité.
Consultez le site web du développeur du thème Dating ou le dépôt WordPress.org pour obtenir l'avis officiel et les instructions de mise à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.