Plateforme
wordpress
Composant
totalpoll-lite
Corrigé dans
4.12.1
La vulnérabilité CVE-2026-27044 est une faille d'injection de code (Code Injection) dans Total Poll Lite, un plugin WordPress. Cette faille permet une inclusion de code à distance (RCE), offrant à un attaquant la possibilité d'exécuter du code malveillant sur le serveur. Elle affecte les versions de Total Poll Lite comprises entre 0.0.0 et 4.12.0. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire sur le serveur hébergeant Total Poll Lite. Cela peut conduire à la prise de contrôle complète du serveur, à la compromission des données sensibles stockées sur le serveur, et à l'utilisation du serveur comme point de pivot pour attaquer d'autres systèmes sur le réseau. L'attaquant pourrait voler des informations personnelles, modifier le contenu du site web, ou même détruire des données. Cette vulnérabilité présente un risque élevé en raison de sa simplicité d'exploitation et de son impact potentiel, rappelant les risques associés à l'injection de code non contrôlée.
Cette vulnérabilité a été rendue publique le 25 mars 2026. Sa sévérité critique (CVSS 9.9) indique une probabilité d'exploitation élevée. Il n'y a pas d'informations disponibles concernant une exploitation active ou une présence dans le catalogue KEV de CISA à ce jour. La disponibilité d'un proof-of-concept (POC) public pourrait augmenter considérablement le risque d'exploitation.
WordPress websites utilizing the Total Poll Lite plugin, particularly those running versions 0.0.0 through 4.12.0, are at significant risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit the vulnerability on multiple websites hosted on the same server. Sites with weak file access controls or inadequate security monitoring are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep total-poll-lite• wordpress / composer / npm:
grep -r 'include($_REQUEST' /var/www/html/wp-content/plugins/total-poll-lite/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/total-poll-lite/ | grep 'Remote Code Inclusion'disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Total Poll Lite vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, envisagez de désactiver temporairement le plugin Total Poll Lite. En attendant la mise à jour, il est possible de renforcer la sécurité du serveur en limitant les permissions de l'utilisateur exécutant le plugin et en mettant en place un pare-feu d'application web (WAF) pour bloquer les requêtes malveillantes. Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'aucune erreur ne se produit.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-27044 is a critical Remote Code Execution vulnerability in the Total Poll Lite WordPress plugin, allowing attackers to execute arbitrary code via Remote Code Inclusion.
You are affected if your WordPress site uses Total Poll Lite versions 0.0.0 through 4.12.0. Upgrade immediately when a patch is available.
Upgrade to the latest version of Total Poll Lite as soon as a patch is released by the vendor. Temporarily disable the plugin until the update is applied.
While no public exploits are currently known, the CRITICAL severity and ease of exploitation suggest it is highly likely to be targeted.
Check the Total Poll Lite website and WordPress plugin repository for official advisories and updates related to CVE-2026-27044.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.