Plateforme
wordpress
Composant
movies-importer
Corrigé dans
1.0.1
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans l'extension WordPress Movies Bulk Importer. Cette faille permet à un attaquant d'exécuter des actions non autorisées au nom d'un utilisateur authentifié, potentiellement modifiant des données sensibles. Elle affecte les versions de Movies Bulk Importer antérieures ou égales à 1.0. Une solution est disponible via une mise à jour de l'extension.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant de réaliser des actions sur un site WordPress sans l'autorisation de l'utilisateur. Cela peut inclure la modification de films, la suppression de données, ou l'exécution d'autres actions administratives, en fonction des permissions de l'utilisateur concerné. L'attaquant doit inciter l'utilisateur à cliquer sur un lien malveillant ou à visiter une page web compromise pour déclencher la requête CSRF. Le risque est d'une perte de contrôle sur les données et la configuration du site WordPress.
Cette vulnérabilité a été rendue publique le 22 janvier 2026. Il n'y a pas d'indications d'exploitation active à ce jour, ni de PoC publiquement disponibles. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC et d'exploitation confirmée.
Websites utilizing the AA-Team Wordpress Movies Bulk Importer plugin, particularly those with a large user base or that handle sensitive movie data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'AA-Team Movies Bulk Importer' /var/www/html/
wp plugin list | grep 'Movies Bulk Importer'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=movies_bulk_importer_action¶m=malicious_param | grep -i 'csrf token'disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour l'extension Movies Bulk Importer vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, l'implémentation de mesures de sécurité supplémentaires peut aider à atténuer le risque. Cela peut inclure l'ajout de tokens CSRF à tous les formulaires sensibles, l'utilisation de Content Security Policy (CSP) pour limiter les sources de scripts autorisés, et la sensibilisation des utilisateurs aux risques liés aux liens suspects. Vérifiez après la mise à jour que les formulaires sensibles nécessitent une authentification supplémentaire.
Aucun correctif connu n'est disponible. Veuillez examiner en détail les informations relatives à la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22359 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans l'extension Movies Bulk Importer pour WordPress, permettant à un attaquant d'effectuer des actions non autorisées.
Vous êtes affecté si vous utilisez Movies Bulk Importer WordPress dans une version antérieure ou égale à 1.0. Vérifiez votre version actuelle et mettez à jour si nécessaire.
La solution est de mettre à jour Movies Bulk Importer WordPress vers la dernière version disponible, qui corrige cette vulnérabilité. Consultez le site officiel de l'extension pour obtenir la version corrigée.
À ce jour, il n'y a pas d'indications d'exploitation active de CVE-2026-22359, mais il est important de mettre à jour pour se prémunir contre d'éventuelles attaques futures.
Consultez le site web de l'extension Movies Bulk Importer ou le site officiel de WordPress pour obtenir l'avis de sécurité officiel concernant CVE-2026-22359.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.