Plateforme
wordpress
Composant
quick-adsense-reloaded
Corrigé dans
2.0.99
La vulnérabilité CVE-2026-2595 est de type Cross-Site Scripting (XSS) Stored. Elle permet à un attaquant authentifié d'injecter du code JavaScript malveillant dans les pages du site web, affectant potentiellement tous les utilisateurs qui les consultent. Cette faille affecte le plugin Quads Ads Manager for Google AdSense pour WordPress, dans les versions inférieures ou égales à 2.0.98.1. La version 2.0.99 corrige cette vulnérabilité.
Le plugin Quads Ads Manager pour Google AdSense présente une vulnérabilité de Cross-Site Scripting (XSS) stockée jusqu'à la version 2.0.98.1. Cela permet à un attaquant authentifié, disposant d’un accès de Contributeur ou supérieur, d’injecter des scripts web arbitraires dans des pages qui s’exécuteront chaque fois qu’un utilisateur accédera à la page injectée. Le score CVSS pour cette vulnérabilité est de 5.4, ce qui indique un risque modéré. L’absence de sanitisation et d’échappement appropriés des données de métadonnées des annonces permet cette injection. Cela peut entraîner le vol de cookies, le détournement vers des sites malveillants ou des actions effectuées au nom de l’utilisateur authentifié.
Un attaquant disposant d’un accès de Contributeur ou supérieur sur un site web utilisant le plugin Quads Ads Manager peut exploiter cette vulnérabilité. L’attaquant peut injecter du code JavaScript malveillant via les champs de métadonnées des annonces. Une fois injecté, le code est stocké dans la base de données et exécuté chaque fois qu’un utilisateur accède à la page contenant l’annonce. L’impact peut varier en fonction du code injecté, mais peut inclure le vol d’informations confidentielles, la modification du contenu du site web ou le détournement des utilisateurs vers des sites malveillants. La difficulté d’exploitation est relativement faible en raison des privilèges requis, mais l’impact potentiel est important.
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La mitigation recommandée est de mettre à jour le plugin Quads Ads Manager pour Google AdSense à la version 2.0.99 ou ultérieure. Cette mise à jour inclut les correctifs nécessaires pour empêcher l’injection de scripts malveillants. De plus, examinez les configurations du plugin et les pages affectées à la recherche de code malveillant existant. Appliquez des politiques de mots de passe forts et activez l’authentification à deux facteurs pour tous les comptes utilisateurs disposant de privilèges d’administrateur afin d’empêcher tout accès non autorisé. Surveillez régulièrement les journaux du serveur à la recherche d’activités suspectes comme mesure de sécurité proactive. Envisagez de mettre en œuvre un pare-feu d’applications web (WAF) pour renforcer la protection contre les attaques XSS.
Mettre à jour vers la version 2.0.99, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le XSS est un type de vulnérabilité de sécurité qui permet aux attaquants d’injecter des scripts malveillants dans des sites web, qui sont ensuite exécutés lorsque d’autres utilisateurs visitent le site.
Dans WordPress, un Contributeur dispose de permissions limitées pour publier et modifier du contenu, mais ne peut pas installer de plugins ou modifier les paramètres du site.
Vous pouvez mettre à jour le plugin depuis le tableau de bord d’administration de WordPress, en allant dans Plugins > Mises à jour. Effectuez toujours une sauvegarde de votre site web avant d’effectuer une mise à jour.
Si vous suspectez que votre site web a été compromis, modifiez tous les mots de passe, analysez le site web à la recherche de logiciels malveillants et restaurez à partir d’une sauvegarde propre.
Oui, envisagez d’utiliser des mots de passe forts, d’activer l’authentification à deux facteurs, de maintenir le logiciel à jour et d’utiliser un pare-feu d’applications web (WAF).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.