Plateforme
wordpress
Composant
xpro-elementor-addons
Corrigé dans
1.4.25
La vulnérabilité CVE-2026-2949 est une faille de type Cross-Site Scripting (XSS) stockée. Elle permet à un attaquant authentifié d'injecter du code JavaScript malveillant dans les pages du site, affectant les utilisateurs qui les consultent. Le plugin Xpro Addons — 140+ Widgets for Elementor, dans sa version 1.4.24 et antérieure, est concerné. La version 1.4.25 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-2949 affecte le plugin Xpro Addons — 140+ Widgets pour Elementor pour WordPress, exposant une vulnérabilité de Cross-Site Scripting (XSS) stockée via le widget Icon Box dans les versions jusqu'à et y compris 1.4.24. Un attaquant authentifié, disposant d'un accès de niveau contributeur ou supérieur, peut injecter des scripts web arbitraires dans des pages. Ces scripts s'exécuteront chaque fois qu'un utilisateur accédera à la page injectée. Cela permet aux attaquants de potentiellement voler des informations sensibles, de rediriger les utilisateurs vers des sites web malveillants ou d'effectuer des actions au nom de l'utilisateur. Le score CVSS de 6.4 indique un risque modéré à élevé, en particulier pour les sites avec de nombreux utilisateurs ou traitant des données sensibles.
Un attaquant disposant d'un accès authentifié (niveau contributeur ou supérieur) à un site WordPress utilisant Xpro Addons versions 1.4.24 ou antérieures peut exploiter cette vulnérabilité. L'attaque consiste à injecter du code JavaScript malveillant via le widget Icon Box. Le code est stocké dans la base de données du site web et exécuté chaque fois qu'un utilisateur visite la page où le script est injecté. L'absence d'une validation et d'un encodage appropriés des entrées permet cette injection. L'exploitation réussie dépend de la capacité de l'attaquant à obtenir un accès authentifié au panneau d'administration WordPress.
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation consiste à mettre à jour le plugin Xpro Addons à la version 1.4.25 ou ultérieure. Cette mise à jour intègre les correctifs nécessaires pour empêcher l'injection de scripts malveillants. De plus, examinez les pages WordPress à la recherche de contenu suspect, en particulier celles modifiées par des utilisateurs ayant des privilèges élevés. L'application d'une politique de mots de passe robustes et l'activation de l'authentification à deux facteurs (2FA) pour tous les utilisateurs administratifs peuvent réduire considérablement le risque d'accès non autorisé. Des audits de sécurité réguliers sont également recommandés pour identifier et traiter de manière proactive les vulnérabilités potentielles. Envisagez d'utiliser un pare-feu d'applications web (WAF) pour ajouter une couche de protection supplémentaire.
Mettre à jour vers la version 1.4.25, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le XSS est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des sites web consultés par d'autres utilisateurs. Ces scripts peuvent voler des informations, rediriger des utilisateurs ou effectuer des actions en leur nom.
Authentifié signifie que l'attaquant doit être connecté au site web WordPress avec un compte disposant de privilèges de niveau contributeur ou supérieur.
Si vous utilisez Xpro Addons version 1.4.24 ou antérieure, votre site web est vulnérable. Mettez à jour le plugin vers la dernière version pour résoudre le problème.
Si vous suspectez que votre site web a été compromis, modifiez immédiatement tous les mots de passe d'administrateur, analysez votre site web à la recherche de logiciels malveillants et envisagez de restaurer à partir d'une sauvegarde propre.
Oui, vous pouvez mettre en œuvre une politique de mots de passe robustes, activer l'authentification à deux facteurs (2FA), maintenir tous vos plugins et thèmes à jour et envisager d'utiliser un pare-feu d'applications web (WAF).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.