Plateforme
wordpress
Composant
add-polylang-support-for-customizer
Corrigé dans
1.4.6
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Add Polylang support for Customizer. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié. Elle affecte les versions du plugin comprises entre la version n/a et la 1.4.5 incluses. Une correction est disponible.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant de modifier les paramètres de configuration du plugin Add Polylang support for Customizer, potentiellement compromettant l'intégrité du site web. Un attaquant pourrait, par exemple, modifier les langues disponibles, les options de traduction ou d'autres paramètres cruciaux. Le risque est amplifié si l'attaquant peut inciter un utilisateur ayant des privilèges d'administrateur à effectuer une action malveillante sans qu'il s'en rende compte. Cette vulnérabilité est similaire à d'autres failles CSRF où l'attaquant exploite la confiance d'un utilisateur authentifié pour exécuter des actions non désirées.
Cette vulnérabilité a été rendue publique le 22 janvier 2026. Aucune preuve d'exploitation active n'est actuellement disponible. La probabilité d'exploitation est considérée comme modérée en raison de la nature publique de la vulnérabilité et de la popularité du plugin. Consultez le site web de l'équipe de développement du plugin pour plus d'informations.
WordPress sites utilizing the Add Polylang support for Customizer plugin, particularly those with users who have administrative privileges or frequently interact with the plugin's settings, are at risk. Shared hosting environments where multiple users share the same WordPress installation are also more vulnerable.
• wordpress / composer / npm:
grep -r 'add_polylang_support_for_customizer' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep add_polylang_support_for_customizer• wordpress / composer / npm:
wp plugin update --alldisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Add Polylang support for Customizer vers la dernière version corrigée. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé d'ajouter une protection CSRF aux formulaires du plugin, par exemple en utilisant des jetons CSRF. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes CSRF malveillantes. Vérifiez après la mise à jour que les paramètres du plugin sont correctement configurés et qu'il n'y a pas de modifications inattendues.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22462 décrit une vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin Add Polylang support for Customizer, permettant à un attaquant d'exécuter des actions non autorisées.
Oui, si vous utilisez Add Polylang support for Customizer dans les versions comprises entre 0 et 1.4.5 incluses, vous êtes affecté(e).
Mettez à jour Add Polylang support for Customizer vers la dernière version disponible. En attendant, appliquez des mesures de mitigation temporaires comme l'ajout de protections CSRF.
À l'heure actuelle, aucune preuve d'exploitation active n'est disponible, mais la vulnérabilité est publique et pourrait être exploitée.
Consultez le site web de l'équipe de développement du plugin Add Polylang support for Customizer pour obtenir les informations les plus récentes et les correctifs.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.