Plateforme
wordpress
Composant
scape
Corrigé dans
1.5.17
Une vulnérabilité d'accès arbitraire de fichiers (Path Traversal) a été découverte dans Whitebox-Studio Scape, un plugin WordPress. Cette faille permet à un attaquant de contourner les restrictions de répertoire et d'accéder à des fichiers sensibles sur le serveur. Elle affecte les versions de Scape antérieures à la version 1.5.16. Une mise à jour vers la version 1.5.16 ou supérieure corrige ce problème.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur web. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des fichiers de code source contenant des secrets, ou des fichiers de données contenant des informations personnelles. Un attaquant pourrait potentiellement obtenir un accès complet au système si les fichiers compromis contiennent des informations d'identification ou des clés d'API. Bien que le plugin soit spécifique à WordPress, l'accès aux fichiers du serveur peut avoir un impact significatif sur l'ensemble de l'infrastructure web.
Cette vulnérabilité a été rendue publique le 25 mars 2026. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité (Path Traversal) la rend facilement exploitable. Il est probable que des preuves de concept (PoC) seront rapidement disponibles. L'ajout à la liste KEV de CISA est à suivre.
WordPress websites utilizing the Whitebox-Studio Scape plugin, particularly those running versions prior to 1.5.16, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/scape/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/scape/../../../../etc/passwd' # Check for unauthorized file accessdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 20%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Whitebox-Studio Scape vers la version 1.5.16 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au plugin via un pare-feu applicatif web (WAF) en bloquant les requêtes contenant des séquences de caractères de path traversal (../). Vérifiez également les permissions des fichiers et des répertoires pour vous assurer qu'ils sont configurés de manière restrictive. Après la mise à jour, vérifiez l'intégrité des fichiers du serveur et surveillez les journaux d'accès pour détecter toute activité suspecte.
Mettre à jour vers la version 1.5.16, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-31913 is a path traversal vulnerability in Whitebox-Studio Scape allowing attackers to read files outside the intended directory. It has a HIGH severity rating (CVSS: 8.6).
You are affected if you are using Whitebox-Studio Scape versions prior to 1.5.16. Upgrade immediately to mitigate the risk.
Upgrade Whitebox-Studio Scape to version 1.5.16 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There is currently no indication of active exploitation campaigns targeting CVE-2026-31913, but vigilance is advised.
Refer to the Whitebox-Studio website and WordPress plugin repository for the latest advisory and update information regarding CVE-2026-31913.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.