Plateforme
wordpress
Composant
revisionary
Corrigé dans
3.7.24
Une vulnérabilité d'injection SQL (SQL Injection) a été découverte dans le plugin PublishPress Revisions. Cette faille, due à une neutralisation incorrecte des caractères spéciaux dans les commandes SQL, permet à un attaquant de réaliser une injection SQL aveugle. Elle affecte les versions du plugin PublishPress Revisions comprises entre les versions non spécifiées et 3.7.23 incluses. La mise à jour vers la version 3.7.24 corrige cette vulnérabilité.
L'injection SQL aveugle permet à un attaquant d'extraire des informations sensibles de la base de données, telles que des identifiants, des données personnelles ou des informations de configuration. L'attaquant peut potentiellement modifier les données, compromettre l'intégrité du site web et même prendre le contrôle du serveur. Bien que l'injection soit aveugle, elle permet une exploration progressive de la base de données, rendant la compromission possible avec suffisamment de temps et de ressources. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans nécessiter d'accès direct au serveur, uniquement via le plugin WordPress.
Cette vulnérabilité a été publiée le 25 mars 2026. Aucune preuve d'exploitation active n'est actuellement disponible, mais la sévérité critique de la vulnérabilité et la nature de l'injection SQL aveugle suggèrent un risque élevé d'exploitation future. Il n'est pas listé sur KEV à ce jour. Un PoC public pourrait être développé, augmentant le risque d'exploitation.
WordPress sites utilizing PublishPress Revisions plugin, particularly those running older versions (prior to 3.7.24), are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable. Sites that store sensitive user data within the WordPress database are at the highest risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/publishpress-revisions/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=revisionary_get_revisions&post_id=1 2>&1 | grep SQL• wordpress / composer / npm:
wp plugin list --status=all | grep publishpress-revisionsdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour PublishPress Revisions vers la version 3.7.24 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le plugin pour réduire la surface d'attaque. En attendant la mise à jour, examinez attentivement les requêtes SQL générées par le plugin et appliquez des filtres de validation des entrées pour atténuer le risque d'injection SQL. Bien qu'il n'existe pas de règles WAF spécifiques pour cette vulnérabilité, des règles génériques de détection d'injection SQL peuvent être mises en place.
Mettre à jour vers la version 3.7.24, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32539 is a critical SQL Injection vulnerability affecting PublishPress Revisions versions up to 3.7.23, allowing attackers to potentially extract sensitive data through Blind SQL Injection.
You are affected if you are using PublishPress Revisions version 3.7.23 or earlier. Immediately check your plugin version and upgrade if necessary.
Upgrade PublishPress Revisions to version 3.7.24 or later to resolve the vulnerability. Consider temporary mitigations like WAF rules if immediate upgrade is not possible.
While no active exploitation has been publicly confirmed, the critical severity and nature of Blind SQL Injection suggest a high potential for exploitation.
Refer to the official PublishPress security advisory on their website for detailed information and updates regarding CVE-2026-32539.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.