Plateforme
wordpress
Composant
social-networks-auto-poster-facebook-twitter-g
Corrigé dans
4.4.7
La vulnérabilité CVE-2026-3228 affecte le plugin NextScripts: Social Networks Auto-Poster pour WordPress. Elle se manifeste par une faille de Cross-Site Scripting (XSS) stockée, permettant à des attaquants authentifiés d'injecter des scripts malveillants. Cette vulnérabilité touche les versions du plugin comprises entre 0.0.0 et 4.4.6, et une version corrigée (4.4.7) est désormais disponible.
Un attaquant authentifié, disposant d'un niveau d'accès Contributor ou supérieur, peut exploiter cette vulnérabilité pour injecter des scripts JavaScript malveillants via le shortcode [nxs_fbembed]. Ces scripts s'exécuteront dans le contexte du navigateur de l'utilisateur lorsqu'il accédera à une page contenant le code injecté. Cela peut permettre à l'attaquant de voler des cookies, de rediriger l'utilisateur vers des sites malveillants, de modifier le contenu de la page ou d'effectuer d'autres actions malveillantes au nom de l'utilisateur. L'impact est amplifié si le site WordPress est utilisé pour des transactions sensibles ou contient des informations confidentielles.
Cette vulnérabilité a été publiée le 2026-03-10. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'un accès authentifié (Contributor ou supérieur). Il n'y a pas de mention de cette vulnérabilité dans le KEV de CISA.
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour le plugin NextScripts: Social Networks Auto-Poster vers la version 4.4.7 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le plugin ou de restreindre l'accès au shortcode [nxsfbembed] aux utilisateurs autorisés. En attendant la mise à jour, une solution de contournement pourrait consister à implémenter une validation et un échappement rigoureux des données utilisateur dans le code du plugin, bien que cela nécessite des compétences en développement WordPress. Après la mise à jour, vérifiez que le shortcode [nxsfbembed] ne permet plus l'injection de scripts.
Mettre à jour vers la version 4.4.7, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
It's a stored Cross-Site Scripting (XSS) vulnerability in the NextScripts Social Networks Auto-Poster WordPress plugin, allowing attackers to inject malicious scripts.
If you're using NextScripts Social Networks Auto-Poster version 0.0.0 through 4.4.6 on your WordPress site, you are vulnerable.
Upgrade the plugin to version 4.4.7 or later. Consider a WAF rule as a temporary workaround if upgrading is not immediately possible.
Currently, there are no public exploits or reports of active exploitation, but vigilance is always recommended.
Refer to the NVD entry for CVE-2026-3228 for detailed information and updates: [https://nvd.nist.gov/vuln/detail/CVE-2026-3228](https://nvd.nist.gov/vuln/detail/CVE-2026-3228)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.