Plateforme
wordpress
Composant
master-addons
Corrigé dans
2.1.2
La vulnérabilité CVE-2026-2486 est une faille de Cross-Site Scripting (XSS) présente dans le plugin Master Addons For Elementor pour WordPress. Cette faille permet à un attaquant authentifié, disposant d'un accès de contributeur ou supérieur, d'injecter des scripts web arbitraires qui seront exécutés lors de l'accès à une page compromise. Elle affecte les versions du plugin comprises entre 0.0.0 et 2.1.1 incluses. Une version corrigée, 2.1.2, est désormais disponible.
La vulnérabilité CVE-2026-2486 affecte le plugin Master Addons For Elementor, permettant une attaque de Cross-Site Scripting (XSS) stockée. Un attaquant authentifié disposant d'un accès de contributeur ou supérieur peut injecter du code JavaScript malveillant via le paramètre 'maelbhtablebtn_text'. Ce code s'exécutera dans le navigateur de tout utilisateur accédant à la page compromise, ce qui pourrait entraîner le vol de cookies, le renvoi vers des sites web malveillants ou la modification du contenu de la page. La gravité du problème est évaluée à 6,4 selon le CVSS, ce qui indique un risque moyen à élevé. La vulnérabilité réside dans le manque de sanitisation et d'échappement appropriés des entrées utilisateur, permettant l'injection de scripts.
Un attaquant disposant d'un accès de contributeur ou supérieur sur un site web utilisant le plugin Master Addons For Elementor peut exploiter cette vulnérabilité. L'attaquant peut injecter du code JavaScript malveillant dans une page via le paramètre 'maelbhtablebtn_text'. Lorsque l'utilisateur accède à cette page, le code JavaScript s'exécute dans son navigateur. La facilité d'exploitation, combinée à la possibilité d'affecter tout utilisateur visitant la page, rend cette vulnérabilité préoccupante. Surveillez les journaux du site web à la recherche d'activités suspectes liées à l'injection de scripts.
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité consiste à mettre à jour le plugin Master Addons For Elementor vers la version 2.1.2 ou supérieure. Cette mise à jour inclut les correctifs nécessaires pour sanitiser et échapper correctement les entrées utilisateur, empêchant ainsi l'injection de code malveillant. Il est fortement recommandé d'effectuer cette mise à jour dès que possible pour protéger votre site web contre les potentielles attaques XSS. De plus, examinez les pages existantes pour détecter d'éventuelles injections qui auraient pu se produire avant la mise à jour et supprimez-les. La mise en œuvre d'une politique de sécurité des mots de passe robuste et la limitation des privilèges des utilisateurs contribuent également à atténuer le risque.
Mettre à jour vers la version 2.1.2, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des sites web légitimes. Ces scripts s'exécutent dans les navigateurs des utilisateurs visitant le site web, ce qui peut permettre aux attaquants de voler des informations sensibles ou d'effectuer des actions en leur nom.
Si vous utilisez une version antérieure à la 2.1.2 du plugin Master Addons For Elementor, vous êtes probablement affecté. Examinez les pages de votre site web à la recherche de code JavaScript suspect injecté dans le paramètre 'maelbhtablebtn_text'.
Mettez immédiatement à jour le plugin vers la version 2.1.2 ou supérieure. Examinez les pages du site web à la recherche de code malveillant et supprimez-le. Envisagez de modifier les mots de passe de tous les utilisateurs disposant de privilèges d'administrateur ou d'éditeur.
Oui, il existe plusieurs outils d'analyse de vulnérabilités XSS, gratuits et payants. Ces outils peuvent vous aider à identifier d'éventuelles vulnérabilités sur votre site web.
Maintenez tous vos plugins et thèmes à jour. Mettez en œuvre une politique de sécurité des mots de passe robuste. Limitez les privilèges des utilisateurs. Utilisez un pare-feu d'applications web (WAF) pour protéger votre site web contre les attaques.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.