Plateforme
wordpress
Composant
oopspam-anti-spam
Corrigé dans
1.2.63
Une vulnérabilité de Cross-Site Scripting (XSS) stockée a été découverte dans OOPSpam Anti-Spam. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant, potentiellement compromettant la sécurité des utilisateurs. Elle affecte les versions du plugin antérieures ou égales à 1.2.62. Une version corrigée, 1.2.63, est désormais disponible.
L'exploitation réussie de cette vulnérabilité XSS stockée permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut conduire au vol de cookies de session, au détournement de session, à la modification du contenu du site web et à la diffusion de logiciels malveillants. L'attaquant peut également utiliser cette faille pour lancer des attaques de phishing ciblant les utilisateurs du site web. Le risque est accru si le plugin est utilisé sur des sites web contenant des informations sensibles ou des données personnelles.
Cette vulnérabilité a été publiquement divulguée le 25 mars 2026. Il n'y a pas d'indication d'exploitation active à ce jour, mais la présence d'une vulnérabilité XSS stockée rend le plugin une cible potentielle pour les attaquants. La probabilité d'exploitation est considérée comme moyenne en raison de la popularité du plugin et de la facilité d'exploitation des vulnérabilités XSS.
WordPress websites utilizing the OOPSpam Anti-Spam plugin, particularly those running versions prior to 1.2.63, are at risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to lateral movement to others.
• wordpress / composer / npm:
grep -r 'oopspam-anti-spam' /var/www/html/wp-content/plugins/
wp plugin list | grep oopspam-anti-spam• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/oopspam-anti-spam/ | grep X-Powered-Bydisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour OOPSpam Anti-Spam vers la version 1.2.63 ou ultérieure. En attendant la mise à jour, il est possible de désactiver temporairement le plugin ou de restreindre les privilèges d'écriture pour les utilisateurs non autorisés. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les tentatives d'injection XSS. Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'aucune fonctionnalité n'est compromise.
Mettre à jour vers la version 1.2.63, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32544 is a Stored Cross-Site Scripting (XSS) vulnerability affecting OOPSpam Anti-Spam versions up to 1.2.62, allowing attackers to inject malicious scripts.
You are affected if you are using OOPSpam Anti-Spam versions prior to 1.2.63. Check your plugin version and upgrade immediately if necessary.
Upgrade OOPSpam Anti-Spam to version 1.2.63 or later. Consider implementing input validation and output encoding as an additional precaution.
No active exploitation has been publicly reported, but the vulnerability's nature suggests a potential for rapid exploitation.
Refer to the OOPSpam Anti-Spam website or WordPress plugin repository for the official advisory and release notes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.