Plateforme
wordpress
Composant
download-monitor
Corrigé dans
5.1.8
La vulnérabilité CVE-2026-3124 est une Insecure Direct Object Reference (IDOR) affectant le plugin Download Monitor pour WordPress. Elle permet à des attaquants non authentifiés de compléter des commandes en attente arbitraires, conduisant potentiellement au vol de biens numériques payants. Les versions affectées sont celles inférieures ou égales à 5.1.7. La version 5.1.8 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-3124 dans le plugin Download Monitor pour WordPress permet à un attaquant non authentifié de voler des produits numériques payants. L'attaque exploite une faille d'Insecure Direct Object Reference (IDOR) dans la fonction executePayment(). Un attaquant peut identifier un jeton de transaction PayPal valide, obtenu par exemple en effectuant un micro-paiement pour un article à faible coût. Ensuite, il peut utiliser ce jeton pour finaliser une commande de valeur beaucoup plus élevée, contournant ainsi le processus de paiement normal. Par exemple, un attaquant pourrait payer 1€ pour un ebook et utiliser le jeton de paiement résultant pour finaliser une commande d'un logiciel coûteux de 100€. Les données à risque incluent les produits numériques payants, ainsi que les informations de transaction PayPal (bien que l'accès direct à ces informations soit moins probable). Le rayon d'impact est limité aux sites web utilisant Download Monitor et où la fonction executePayment() est accessible. La gravité de cette vulnérabilité est élevée (CVSS score de 7.5) car elle permet un accès non autorisé à des ressources payantes sans authentification significative.
À ce jour, il n'y a pas de rapports publics d'exploitation de la vulnérabilité CVE-2026-3124. Cependant, la vulnérabilité est facilement exploitable, ce qui augmente le risque qu'elle soit exploitée à l'avenir. L'absence de preuve d'exploitation actuelle ne doit pas minimiser la gravité de la vulnérabilité. Un code d'exploitation pourrait être développé et publié à tout moment. Compte tenu de la simplicité de l'exploitation et de la nature sensible des données à risque (produits numériques payants), il est fortement recommandé de corriger cette vulnérabilité dès que possible. La vulnérabilité est classée comme de haute priorité en raison de son impact potentiel et de sa facilité d'exploitation.
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La solution la plus simple et la plus recommandée est de mettre à jour le plugin Download Monitor vers la version 5.1.8 ou ultérieure. Cette version inclut une correction de la vulnérabilité IDOR en validant correctement la clé contrôlée par l'utilisateur dans la fonction executePayment(). Si la mise à jour n'est pas immédiatement possible, il n'existe pas de contournement simple pour corriger cette vulnérabilité. Il est crucial de prioriser la mise à jour, car l'absence de validation de l'objet direct rend l'exploitation relativement simple. Après la mise à jour, vérifiez les journaux du serveur pour détecter toute activité suspecte liée aux paiements. Il est également conseillé de revoir les configurations de sécurité de WordPress et du serveur pour s'assurer qu'elles sont à jour et robustes. Enfin, surveillez attentivement les transactions PayPal pour détecter toute activité inhabituelle.
Mettre à jour vers la version 5.1.8, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-3124 is an Insecure Direct Object Reference (IDOR) vulnerability in the Download Monitor plugin for WordPress that allows unauthenticated attackers to complete arbitrary pending orders.
You are affected if you are using Download Monitor version 5.1.7 or earlier.
Update the Download Monitor plugin to version 5.1.8 or later to resolve this vulnerability.
There are currently no public exploitation reports or proof-of-concept code available.
Refer to the National Vulnerability Database (NVD) entry for CVE-2026-3124: https://nvd.nist.gov/vuln/detail/CVE-2026-3124
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.