Plateforme
wordpress
Composant
remoji
Corrigé dans
2.2.1
Une vulnérabilité de Cross-Site Scripting (XSS) stockée a été découverte dans le plugin Remoji pour WordPress. Cette faille permet à un attaquant d'injecter des scripts malveillants qui s'exécutent dans le navigateur des utilisateurs. Elle affecte les versions de Remoji comprises entre 0.0.0 et 2.2. Une version corrigée, 2.2.1, est désormais disponible.
L'exploitation réussie de cette vulnérabilité XSS stockée permet à un attaquant d'injecter du code JavaScript arbitraire dans les pages web affichées par Remoji. Cela peut conduire au vol de cookies de session, au détournement de session, à la modification du contenu du site web et à la redirection des utilisateurs vers des sites malveillants. L'attaquant peut également utiliser cette vulnérabilité pour diffuser du contenu malveillant aux visiteurs du site, compromettant ainsi la réputation et la sécurité du site WordPress. Le risque est amplifié si Remoji est utilisé pour afficher du contenu généré par les utilisateurs, car cela augmente la surface d'attaque.
Cette vulnérabilité a été rendue publique le 25 mars 2026. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de XSS stockée rend cette vulnérabilité potentiellement dangereuse. Il n'y a pas d'entrée dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Un Proof of Concept (PoC) pourrait être développé et publié à tout moment.
Websites using the Remoji plugin, particularly those with user-generated content or forms where user input is not properly sanitized, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromised website could potentially be used to attack other websites on the same server.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/wp-content/plugins/remoji/*• wordpress / composer / npm:
wp plugin list | grep remoji• wordpress / composer / npm:
wp plugin update remoji --version=2.2.1disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Remoji vers la version 2.2.1. Si la mise à jour n'est pas possible immédiatement, envisagez de désactiver temporairement le plugin Remoji pour empêcher de nouvelles attaques. En attendant la mise à jour, une solution de contournement pourrait consister à implémenter des règles de filtrage strictes dans un pare-feu applicatif web (WAF) pour bloquer les requêtes contenant des charges utiles XSS potentielles. Surveillez attentivement les journaux d'accès et d'erreurs de WordPress pour détecter toute activité suspecte.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-25452 is a Stored XSS vulnerability in the Remoji WordPress plugin, allowing attackers to inject malicious scripts that are stored and executed by other users.
You are affected if you are using Remoji versions 0.0.0 through 2.2. Check your plugin versions and update immediately.
Update the Remoji plugin to version 2.2.1 or later. If upgrading is not possible, temporarily disable the plugin.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that exploitation will occur.
Refer to the Remoji plugin's official website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.