Plateforme
wordpress
Composant
woo-abandoned-cart-recovery
Corrigé dans
1.1.11
Une vulnérabilité de Cross-Site Scripting (XSS) stocké a été découverte dans le plugin Abandoned Cart Recovery for WooCommerce développé par VillaTheme. Cette faille permet à un attaquant d'injecter des scripts malveillants qui seront ensuite exécutés dans le navigateur des utilisateurs. Elle affecte les versions du plugin antérieures ou égales à 1.1.10. Une version corrigée, 1.1.11, est désormais disponible.
L'exploitation réussie de cette vulnérabilité XSS stocké permet à un attaquant d'injecter du code JavaScript malveillant dans les pages du site WooCommerce. Ce code peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites web malveillants, modifier le contenu de la page ou même exécuter des actions au nom de l'utilisateur connecté. L'impact peut être significatif, allant du vol d'informations sensibles à la compromission complète du site web. Un attaquant pourrait également utiliser cette faille pour diffuser du malware ou lancer des attaques de phishing ciblées contre les clients.
Cette vulnérabilité a été rendue publique le 25 mars 2026. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la nature de XSS signifie qu'elle est facilement exploitable. Aucun PoC public n'a été observé à ce jour, mais la vulnérabilité est suffisamment simple pour qu'un PoC puisse être développé rapidement. Le score CVSS de 7.1 (ÉLEVÉ) indique une probabilité d'exploitation significative si la vulnérabilité est découverte.
WooCommerce store owners using the Abandoned Cart Recovery for WooCommerce plugin, particularly those running older versions (prior to 1.1.11), are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r "villaTheme Abandoned Cart Recovery" /var/www/html/wp-content/plugins/
wp plugin list | grep abandoned-cart-recovery• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=abandoned_cart_recovery_save_data | grep -i content-security-policydisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
Vecteur CVSS
La mesure la plus importante pour atténuer cette vulnérabilité est de mettre à jour immédiatement le plugin Abandoned Cart Recovery for WooCommerce à la version 1.1.11 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de désactiver temporairement le plugin. En attendant, une solution de contournement pourrait consister à implémenter des règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des charges utiles XSS potentielles. Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'aucune fonctionnalité n'est cassée. Si des problèmes surviennent, envisagez de revenir à une sauvegarde antérieure à la mise à jour.
Mettre à jour vers la version 1.1.11, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32526 is a Stored Cross-Site Scripting (XSS) vulnerability in the VillaTheme Abandoned Cart Recovery for WooCommerce plugin, allowing attackers to inject malicious scripts.
You are affected if you are using Abandoned Cart Recovery for WooCommerce versions prior to 1.1.11. Upgrade immediately to mitigate the risk.
Upgrade the plugin to version 1.1.11 or later. If upgrading is not possible, temporarily disable the plugin.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature suggests it could be targeted.
Refer to the VillaTheme website and WooCommerce plugin repository for the latest security advisories and updates regarding CVE-2026-32526.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.