Plateforme
wordpress
Composant
under-construction-maintenance-mode
Corrigé dans
2.1.2
2.1.2
Le plugin WordPress « Under Construction, Coming Soon & Maintenance Mode » est vulnérable à une attaque de Cross-Site Request Forgery (CSRF) dans toutes les versions inférieures ou égales à 2.1.1. Cette faille est due à une validation incorrecte ou absente des jetons Nonce. Un attaquant peut exploiter cette vulnérabilité pour inciter un administrateur à effectuer des actions non autorisées, compromettant potentiellement la sécurité du site.
Une attaque CSRF réussie permet à un attaquant d'exécuter des actions en tant qu'administrateur du site WordPress, sans nécessiter d'informations d'identification valides. Cela peut inclure la modification des paramètres du plugin, l'ajout de contenu malveillant, ou même la prise de contrôle complète du site. L'attaquant peut exploiter cette vulnérabilité en créant un lien malveillant et en incitant l'administrateur à cliquer dessus, par exemple via un email de phishing ou un message sur un forum. Le risque est particulièrement élevé si l'administrateur utilise un navigateur avec des cookies actifs pour le site WordPress.
Cette vulnérabilité a été publiée le 7 avril 2026. Aucune preuve d'exploitation active n'est actuellement disponible. Le score CVSS de 4.3 indique une sévérité modérée. Il est recommandé de corriger cette vulnérabilité dès que possible pour éviter toute exploitation future.
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin vers la version 2.1.2 ou supérieure, qui corrige cette vulnérabilité. En attendant, il est possible de mettre en place des mesures de protection temporaires. Activez un plugin de sécurité WordPress qui offre une protection CSRF. Soyez extrêmement vigilant quant aux liens sur lesquels vous cliquez, surtout ceux reçus par email ou provenant de sources inconnues. Envisagez d'utiliser un Content Security Policy (CSP) pour restreindre les sources de contenu autorisées sur votre site WordPress.
Mettre à jour vers la version 2.1.2, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CSRF (Cross-Site Request Forgery) is a type of attack that forces an authenticated user to perform unwanted actions on a web application. The attacker leverages the user’s active session to execute commands.
If you are using a version of the 'Under Construction, Coming Soon & Maintenance Mode' plugin older than 2.1.2, your site is vulnerable. Verify the plugin version in your WordPress admin dashboard.
Immediately change the passwords of all users with administrator privileges. Perform a thorough scan of the site for modified files or suspicious activity. Restore the site from a clean backup if possible.
There are web security scanning tools that can detect CSRF vulnerabilities, although effectiveness may vary. Consider using a WordPress security plugin that includes vulnerability scanning capabilities.
No, a KEV is not currently available for this vulnerability.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.