Plateforme
wordpress
Composant
token-of-trust
Corrigé dans
3.32.4
3.32.4
La vulnérabilité CVE-2026-2834 affecte le plugin Age Verification & Identity Verification by Token of Trust pour WordPress. Elle se manifeste par une faille de Cross-Site Scripting (XSS) stockée, permettant à des attaquants d'injecter des scripts malveillants via le paramètre 'description'. Les versions concernées sont celles allant de 0.0.0 à 3.32.3. Une version corrigée, 3.32.4, est disponible.
Une vulnérabilité de Cross-Site Scripting (XSS) persistante a été identifiée dans le plugin 'Age Verification & Identity Verification by Token of Trust' pour WordPress. Cette vulnérabilité, identifiée sous le nom de CVE-2026-2834, permet à des attaquants non authentifiés d'injecter des scripts web malveillants via le paramètre 'description'. Une fois injecté, le script s'exécute chaque fois qu'un utilisateur accède à la page concernée. Cela représente un risque important, car un attaquant pourrait voler des cookies de session, rediriger les utilisateurs vers des sites web malveillants ou même prendre le contrôle du compte WordPress. La sévérité du CVSS est de 7.2, ce qui indique un risque élevé. Il est crucial de mettre à jour le plugin pour atténuer ce risque.
Un attaquant pourrait exploiter cette vulnérabilité en injectant du code JavaScript malveillant dans le champ 'description' du plugin. Ce code pourrait être injecté via un formulaire d'administration WordPress ou toute autre interface permettant la saisie de données dans ce champ. Une fois injecté, le script sera stocké dans la base de données et exécuté chaque fois qu'un utilisateur accède à la page affichant la description. Le succès de l'exploitation dépend de la configuration du site web et des mesures de sécurité mises en place. L'absence de désinfection des entrées utilisateur est la cause principale de cette vulnérabilité.
Statut de l'Exploit
EPSS
0.08% (percentile 24%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à jour le plugin 'Age Verification & Identity Verification by Token of Trust' à la version 3.32.4 ou supérieure. Cette mise à jour inclut les correctifs nécessaires pour désinfecter correctement les entrées utilisateur et échapper les sorties, empêchant ainsi l'injection de scripts malveillants. Il est fortement recommandé d'appliquer cette mise à jour dès que possible, surtout si votre site web gère des informations sensibles ou connaît un trafic important. Il est également recommandé de vérifier régulièrement vos plugins et thèmes WordPress à la recherche de vulnérabilités de sécurité. La mise en œuvre d'une politique de mots de passe robuste et l'activation de l'authentification à deux facteurs peuvent renforcer davantage la sécurité de votre site.
Mettez à jour vers la version 3.32.4, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un type de vulnérabilité qui permet à un attaquant d'injecter du code malveillant dans un site web, qui s'exécute ensuite dans les navigateurs des autres utilisateurs lorsqu'ils visitent la page concernée.
Si vous utilisez une version du plugin antérieure à la 3.32.4, vous êtes probablement affecté. Mettez à jour immédiatement.
Modifiez tous les mots de passe, examinez les fichiers du site web à la recherche de code malveillant et envisagez de consulter un professionnel de la sécurité.
Oui, utilisez des mots de passe forts, activez l'authentification à deux facteurs et maintenez votre logiciel à jour.
Vous pouvez trouver plus d'informations dans la base de données de vulnérabilités CVE (Common Vulnerabilities and Exposures) sous l'identifiant CVE-2026-2834.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.