Plateforme
wordpress
Composant
wp-user-avatar
Corrigé dans
4.16.12
La vulnérabilité CVE-2026-3309 affecte le plugin ProfilePress pour WordPress, permettant une exécution arbitraire de shortcodes. Cette faille est due à un manque de validation des données fournies par l'utilisateur dans les champs de facturation, qui sont ensuite interpolés dans des shortcodes sans une désinfection adéquate. Les versions concernées sont comprises entre 0.0.0 et 4.16.11 incluses. Une correction est disponible dans la version 4.16.12.
Un attaquant non authentifié peut exploiter cette vulnérabilité en soumettant des champs de facturation spécialement conçus lors du processus de paiement. Ces champs, contenant du code de shortcode malveillant, seront interprétés et exécutés par WordPress, permettant à l'attaquant d'injecter du contenu arbitraire, de modifier des paramètres de configuration, voire de compromettre l'ensemble du site WordPress. L'impact peut aller de l'affichage de contenu non désiré à la prise de contrôle complète du site web, en fonction des privilèges accordés aux shortcodes exécutés. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite aucune authentification préalable.
Cette vulnérabilité a été rendue publique le 4 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité d'une interaction utilisateur (soumission d'un formulaire de paiement malveillant). Cette vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin ProfilePress vers la version 4.16.12 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement les fonctionnalités de shortcode dans les champs de facturation, si cela est possible via les paramètres du plugin. En attendant la mise à jour, une solution de contournement pourrait consister à utiliser un Web Application Firewall (WAF) pour filtrer les requêtes contenant des shortcodes potentiellement malveillants dans les champs de facturation. Après la mise à jour, vérifiez l'intégrité du plugin en comparant le hachage des fichiers avec celui fourni par l'éditeur.
Mettre à jour vers la version 4.16.12, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-3309 est une vulnérabilité dans le plugin ProfilePress pour WordPress qui permet à un attaquant d'exécuter du code malveillant via des champs de facturation.
Si vous utilisez ProfilePress en version 0.0.0 à 4.16.11, vous êtes potentiellement affecté. Mettez à jour vers 4.16.12 ou supérieur.
Mettez à jour le plugin ProfilePress vers la version 4.16.12 ou supérieure. En attendant, désactivez temporairement les shortcodes dans les champs de facturation si possible.
À l'heure actuelle, il n'y a aucune indication d'exploitation active, mais la vulnérabilité reste présente dans les versions non corrigées.
Consultez le site web de ProfilePress ou le dépôt GitHub du plugin pour l'avis officiel et les détails de la correction.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.