Plateforme
wordpress
Composant
postaffiliatepro
Corrigé dans
1.28.1
1.28.1
La vulnérabilité CVE-2026-2290 affecte le plugin Post Affiliate Pro pour WordPress, et concerne une faille de type Server-Side Request Forgery (SSRF). Cette faille permet à un attaquant authentifié, disposant d'un accès de niveau administrateur, de lancer des requêtes web arbitraires depuis l'application, potentiellement exposant des données sensibles. Les versions concernées sont celles inférieures ou égales à 1.28.0. Une correction est disponible.
Un attaquant exploitant cette vulnérabilité SSRF peut initier des requêtes web arbitraires depuis le serveur WordPress. Cela peut permettre de lire le contenu des réponses renvoyées par des serveurs externes, potentiellement exposant des informations confidentielles. L'attaquant pourrait, par exemple, interroger des services internes non accessibles depuis l'extérieur, ou tenter de lire des fichiers sensibles sur le serveur. Bien que le CVSS score soit faible, la possibilité d'accès à des données internes et la facilité d'exploitation (requérant un accès administrateur) rendent cette vulnérabilité préoccupante. L'exploitation réussie a été confirmée par la réception et l'observation des données de réponse d'un point de terminaison Collaborateur externe.
La vulnérabilité a été rendue publique le 20 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. Le score EPSS est probablement faible en raison de la nécessité d'un accès administrateur et de la complexité relative de l'exploitation. Aucune preuve publique de PoC n'est actuellement disponible.
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Post Affiliate Pro vers une version corrigée. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre les autorisations de l'utilisateur administrateur et de surveiller attentivement les journaux d'accès du serveur WordPress. Des règles WAF (Web Application Firewall) peuvent être configurées pour bloquer les requêtes sortantes vers des domaines non autorisés. Vérifiez après la mise à jour que le plugin est bien à jour et que les journaux ne présentent pas d'activité suspecte.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-2290 is a Server-Side Request Forgery vulnerability in Post Affiliate Pro WordPress plugin versions up to 1.28.0, allowing authenticated admins to make outbound requests.
You are affected if you are using Post Affiliate Pro version 1.28.0 or earlier. Check your plugin version using wp plugin list.
Upgrade Post Affiliate Pro to a patched version. As a temporary workaround, restrict outbound network access using a WAF or proxy server.
There are currently no public reports of CVE-2026-2290 being actively exploited in the wild.
Refer to the Post Affiliate Pro website and WordPress plugin repository for updates and advisories regarding CVE-2026-2290.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.