Plateforme
wordpress
Composant
simple-xml-sitemap
Corrigé dans
1.3.1
Une vulnérabilité CSRF (Cross-Site Request Forgery) a été découverte dans le plugin Simple XML Sitemap, permettant une attaque de type XSS stocké. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant via des requêtes HTTP non autorisées. Elle affecte les versions de Simple XML Sitemap comprises entre 0.0.0 et 1.3 inclus. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter du code JavaScript malveillant dans les pages du site WordPress. Ce code peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites malveillants, modifier le contenu du site web ou effectuer d'autres actions au nom de l'utilisateur authentifié. Le risque est amplifié si le site web est utilisé pour des transactions sensibles ou contient des informations personnelles. Une attaque réussie pourrait compromettre l'intégrité du site web et la confidentialité des données des utilisateurs.
Cette vulnérabilité a été publiée le 22 janvier 2026. Il n'y a pas d'indications d'exploitation active à ce jour. Bien qu'il n'y ait pas de preuve d'exploitation, la nature de la vulnérabilité CSRF/XSS la rend potentiellement exploitable. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
Websites using the Simple XML Sitemap plugin, particularly those with user authentication or sensitive data, are at risk. Shared WordPress hosting environments are particularly vulnerable as attackers could potentially exploit this vulnerability on multiple websites hosted on the same server. Sites using older, unmaintained versions of WordPress are also at higher risk.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/simple-xml-sitemap/• wordpress / composer / npm:
wp plugin list --status=inactive | grep simple-xml-sitemap• wordpress / composer / npm:
wp plugin list | grep simple-xml-sitemapdisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Simple XML Sitemap vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, il est recommandé d'appliquer des mesures d'atténuation telles que la configuration de politiques de sécurité de contenu (CSP) pour restreindre les sources de scripts autorisées. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les requêtes malveillantes. Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'aucune fonctionnalité n’est compromise.
Aucune correction connue n'est disponible. Veuillez examiner en détail les informations relatives à la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22355 is a Cross-Site Scripting (XSS) vulnerability in the Simple XML Sitemap WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using the Simple XML Sitemap plugin in WordPress versions 0.0.0 through 1.3. Check your plugin versions immediately.
Upgrade to a patched version of the Simple XML Sitemap plugin as soon as it's available. Until then, implement CSP and input validation.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply mitigations proactively.
Check the plugin author's website or WordPress plugin repository for updates and advisories related to CVE-2026-22355.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.