Plateforme
wordpress
Composant
contact-manager
Corrigé dans
9.1.1
Une vulnérabilité de Cross-Site Scripting (XSS) Refléché a été découverte dans Kleor Contact Manager. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant dans les pages web, potentiellement compromettant la confidentialité des utilisateurs et l'intégrité du système. Elle affecte les versions de Kleor Contact Manager antérieures ou égales à 9.1. Une version corrigée, 9.1.1, est désormais disponible.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut conduire au vol de cookies de session, à la redirection vers des sites web malveillants, ou à la modification du contenu de la page web. Un attaquant pourrait également utiliser cette vulnérabilité pour lancer des attaques de phishing ciblées, en imitant l'interface de Kleor Contact Manager pour voler des informations d'identification sensibles. Le risque est amplifié si Kleor Contact Manager est utilisé pour gérer des informations personnelles ou confidentielles.
Cette vulnérabilité est publique depuis le 25 mars 2026. Il n'y a pas d'indications d'exploitation active à ce jour, mais la nature de XSS la rend facilement exploitable. Aucun PoC public n'a été identifié à ce jour, mais la simplicité de l'exploitation XSS suggère qu'il pourrait en émerger rapidement. La vulnérabilité a été ajoutée au catalogue KEV de CISA.
Websites using the Kleor Contact Manager plugin, particularly those running older versions (prior to 9.1.1), are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "contact-manager" /var/www/html/wp-content/plugins/
wp plugin list | grep contact-manager• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Kleor Contact Manager vers la version 9.1.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez d'implémenter des règles de pare-feu d'application web (WAF) pour bloquer les requêtes contenant des charges utiles XSS potentielles. Il est également recommandé de désactiver temporairement les fonctionnalités qui pourraient être exploitées pour injecter du code JavaScript, si cela est possible sans affecter la fonctionnalité essentielle. Vérifiez après la mise à jour que la vulnérabilité est bien corrigée en tentant d'injecter une charge utile XSS simple et en vérifiant qu'elle n'est pas exécutée.
Mettre à jour vers la version 9.1.1, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32517 is a Reflected XSS vulnerability affecting Kleor Contact Manager versions up to 9.1, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using Kleor Contact Manager version 9.1 or earlier. Upgrade to 9.1.1 to mitigate the risk.
Upgrade Kleor Contact Manager to version 9.1.1 or later. Consider input validation and output encoding as an interim measure.
No active exploitation has been confirmed at this time, but the vulnerability's nature makes it likely that exploitation attempts will occur.
Refer to the Kleor Contact Manager website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.