Plateforme
wordpress
Composant
legacy-admin
Corrigé dans
9.5.1
Une vulnérabilité de Cross-Site Scripting (XSS) Refléché a été découverte dans le module Legacy Admin de themepassion. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant dans les pages web, potentiellement compromettant la confidentialité des données des utilisateurs et leur contrôle sur le navigateur. Elle affecte les versions de Legacy Admin comprises entre 0.0.0 et 9.5. Une correction est disponible.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut conduire au vol de cookies de session, à la redirection vers des sites web malveillants, à la modification du contenu de la page web et, dans certains cas, au contrôle total du compte de l'utilisateur. L'attaquant peut également utiliser cette faille pour lancer des attaques de phishing sophistiquées, en imitant l'interface utilisateur légitime pour voler des informations d'identification sensibles. Le risque est accru si le module Legacy Admin est utilisé dans des environnements critiques ou pour gérer des informations sensibles.
Cette vulnérabilité a été rendue publique le 25 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de PoC publiquement disponibles. La vulnérabilité est classée comme de haute sévérité (CVSS 7.1). Son inclusion dans le KEV n'est pas encore connue.
Administrators and users of websites utilizing ThemePassion Legacy Admin are at risk. Specifically, those using older, unpatched versions (0.0.0 through 9.5) are highly vulnerable. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'Legacy Admin' /var/www/html/wp-content/plugins/
wp plugin list | grep Legacy Admin• generic web:
curl -I 'https://your-website.com/admin/index.php?param=<script>alert(1)</script>' | grep Content-Typedisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour Legacy Admin vers la dernière version corrigée disponible. En attendant la mise à jour, appliquez des mesures d'atténuation temporaires, telles que la validation stricte de toutes les entrées utilisateur et l'utilisation d'une politique de sécurité de contenu (CSP) pour limiter les sources de scripts autorisées. Il est également recommandé de désactiver temporairement les fonctionnalités potentiellement vulnérables du module Legacy Admin. Après la mise à jour, vérifiez que la vulnérabilité a bien été corrigée en testant l'injection de code JavaScript dans les champs d'entrée.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22524 is a Reflected XSS vulnerability affecting ThemePassion Legacy Admin versions 0.0.0 through 9.5, allowing attackers to inject malicious scripts via crafted URLs.
If you are using ThemePassion Legacy Admin version 0.0.0 through 9.5, you are potentially affected. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of ThemePassion Legacy Admin. Check the vendor's website for the latest version.
While no active exploitation has been confirmed, the ease of exploitation suggests potential for future attacks. Monitor security advisories and logs.
Refer to the ThemePassion website and WordPress plugin repository for official advisories and updates related to CVE-2026-22524.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.