Plateforme
wordpress
Composant
gaea
Corrigé dans
3.8
Une vulnérabilité de Cross-Site Scripting (XSS) Refléché a été découverte dans Gaea, un plugin WordPress. Cette faille permet à un attaquant d'injecter des scripts malveillants dans les pages web, potentiellement compromettant les données des utilisateurs et l'intégrité du site. Elle affecte les versions de Gaea antérieures à la version 3.8. La mise à jour vers la version 3.8 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut conduire au vol de cookies de session, à la redirection vers des sites malveillants, à la modification du contenu de la page web et, dans certains cas, au contrôle total du compte utilisateur. Un attaquant pourrait également utiliser cette faille pour lancer des attaques de phishing ciblées ou pour diffuser des logiciels malveillants aux visiteurs du site. Le risque est exacerbé si Gaea est utilisé sur des sites avec des données sensibles ou des fonctionnalités d'authentification.
Cette vulnérabilité a été rendue publique le 25 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques pourraient émerger, augmentant le risque d'exploitation.
Websites using imithemes Gaea plugin versions prior to 3.8 are at risk. This includes websites that rely on Gaea for specific functionalities, such as custom page templates or shortcodes. Shared hosting environments where multiple websites share the same server resources are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "imithemes/gaea" /var/www/html
wp plugin list | grep gaea• generic web:
curl -I https://example.com/?param=<script>alert(1)</script> | grep -i scriptdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour Gaea vers la version 3.8 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible d'atténuer le risque en appliquant des filtres d'entrée stricts pour nettoyer les données fournies par l'utilisateur. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les tentatives d'exploitation. Vérifiez après la mise à jour que la nouvelle version est correctement installée et configurée en effectuant un test de base pour vérifier l'absence d'injection XSS.
Mettre à jour vers la version 3.8, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32518 is a Reflected XSS vulnerability in the imithemes Gaea WordPress plugin, allowing attackers to inject malicious scripts into web pages.
You are affected if you are using imithemes Gaea versions prior to 3.8. Check your plugin version and upgrade if necessary.
Upgrade imithemes Gaea to version 3.8 or later to resolve the vulnerability. Consider input validation and WAF rules as interim measures.
There is no confirmed active exploitation of CVE-2026-32518 at this time, but the potential for exploitation exists.
Refer to the imithemes website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.