CVE-2026-2442 : Injection CRLF dans Pagelayer ≤2.0.7

La vulnérabilité CVE-2026-2442 affecte le plugin Page Builder: Pagelayer pour WordPress, permettant à des attaquants non authentifiés d'injecter des en-têtes d'e-mail arbitraires. Cela est dû à un défaut de neutralisation des séquences CRLF (Carriage Return Line Feed) dans le gestionnaire du formulaire de contact. Le plugin effectue une substitution de marqueurs de position sur les champs du formulaire contrôlés par l'attaquant, puis transmet les valeurs résultantes dans les en-têtes d'e-mail sans supprimer les caractères CR/LF. Un attaquant pourrait exploiter cette vulnérabilité pour modifier le destinataire, l'objet ou même ajouter des en-têtes supplémentaires à l'e-mail envoyé via le formulaire de contact, ce qui pourrait permettre l'envoi de spam ou la manipulation de la livraison des e-mails. La sévérité de la vulnérabilité est notée 5.3 selon CVSS, ce qui indique un risque modéré.

1. Réservé2026-02-13
2. Publiée2026-03-28
3. Modifiée2026-04-08
4. EPSS mis à jour2026-04-04

La solution à cette vulnérabilité consiste à mettre à jour le plugin Page Builder: Pagelayer à la version 2.0.8 ou supérieure. Cette version inclut une correction qui neutralise correctement les séquences CRLF dans les champs du formulaire avant qu'ils ne soient utilisés dans les en-têtes d'e-mail. Il est fortement recommandé à tous les utilisateurs du plugin d'appliquer cette mise à jour dès que possible afin d'atténuer le risque d'exploitation. De plus, examinez les journaux du serveur à la recherche de toute activité suspecte liée au formulaire de contact. Si une exploitation est suspectée, modifiez les mots de passe des comptes utilisateurs et effectuez une analyse de sécurité complète du site web.

Installations actives

400KConnu

Note du plugin