Plateforme
wordpress
Composant
minify-html-markup
Corrigé dans
2.1.13
Le plugin Minify HTML pour WordPress est vulnérable à une attaque de Cross-Site Request Forgery (CSRF) dans toutes les versions jusqu'à et incluant la 2.1.12. Cette vulnérabilité est due à une validation incorrecte ou absente des jetons Nonce dans la fonction 'minifyhtmlmenu_options'. Un attaquant non authentifié peut exploiter cette faille pour modifier les paramètres du plugin en incitant un administrateur du site à effectuer une action, comme cliquer sur un lien malveillant. La version corrigée est la 2.1.13.
Une attaque CSRF réussie permet à un attaquant de modifier les paramètres de configuration du plugin Minify HTML sans l'autorisation de l'administrateur. Cela pourrait entraîner des modifications du comportement du plugin, l'activation de fonctionnalités indésirables, ou même l'injection de code malveillant via les paramètres du plugin. L'impact est amplifié si l'attaquant peut compromettre les paramètres de minification, ce qui pourrait affecter la performance du site web ou introduire des vulnérabilités supplémentaires. Bien que l'attaquant doive inciter l'administrateur à effectuer une action, la simplicité de l'attaque CSRF la rend relativement facile à exploiter.
Cette vulnérabilité a été rendue publique le 2026-03-31. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention dans le KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, rendant l'exploitation plus accessible. Surveillez les forums de sécurité WordPress et les dépôts de vulnérabilités pour de nouvelles informations.
WordPress websites utilizing the Minify HTML plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r 'minify_html_menu_options' /var/www/html/wp-content/plugins/minify-html/includes/• wordpress / composer / npm:
wp plugin list | grep minify-html• wordpress / composer / npm:
wp plugin update minify-htmldisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Minify HTML vers la version 2.1.13 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'impact en désactivant temporairement le plugin ou en restreignant l'accès à la page d'options du plugin. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les requêtes CSRF malveillantes. Vérifiez après la mise à jour que les paramètres du plugin sont conformes à la configuration souhaitée et qu'il n'y a pas de modifications inattendues.
Mettre à jour vers la version 2.1.13, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-3191 est une vulnérabilité CSRF dans le plugin Minify HTML pour WordPress, permettant à un attaquant de modifier les paramètres du plugin sans autorisation.
Oui, vous êtes affecté si vous utilisez le plugin Minify HTML pour WordPress en version 0.0.0–2.1.12.
Mettez à jour le plugin Minify HTML vers la version 2.1.13 ou supérieure pour corriger cette vulnérabilité.
À ce jour, il n'y a pas d'indication d'une exploitation active, mais des PoC pourraient émerger.
Consultez le site web du plugin Minify HTML ou le dépôt WordPress.org pour les informations officielles.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.