Plateforme
wordpress
Composant
media-library-assistant
Corrigé dans
3.34.1
3.35
CVE-2026-34897 describes a Stored Cross-Site Scripting (XSS) vulnerability discovered in the Media Library Assistant plugin. This flaw allows an attacker to inject malicious scripts that are then stored and executed when other users access affected pages, potentially leading to account takeover or other malicious actions. The vulnerability impacts Media Library Assistant versions from n/a up to and including 3.34. As of the publication date, no official patch has been released to address this issue.
La vulnérabilité CVE-2026-34897 dans le plugin Media Library Assistant pour WordPress représente un risque de Cross-Site Scripting (XSS) stocké. Des attaquants authentifiés, disposant d'un accès de contributeur ou supérieur, peuvent injecter du code JavaScript malveillant dans des pages WordPress. Ce code s'exécutera chaque fois qu'un utilisateur accédera à la page compromise, permettant à l'attaquant de voler des cookies, de rediriger les utilisateurs vers des sites web malveillants ou de modifier le contenu de la page. La sévérité du CVSS est de 6,4, ce qui indique un risque modéré. L'insuffisance de la désinfection des entrées et un échappement de sortie inadéquat sont les causes principales de cette vulnérabilité. L'impact potentiel est important, en particulier pour les sites avec un grand nombre d'utilisateurs et de contenu dynamique.
Un attaquant disposant d'un accès de contributeur ou supérieur sur un site WordPress utilisant Media Library Assistant jusqu'à la version 3.34 peut exploiter cette vulnérabilité. L'attaquant peut injecter du code JavaScript malveillant via une entrée dans le plugin, comme lors de l'ajout de métadonnées à une image ou de la modification des paramètres du plugin. Une fois injecté, le code est stocké dans la base de données et s'exécute chaque fois qu'un utilisateur accède à la page affectée. L'exploitation nécessite une authentification, mais ne nécessite pas de compétences techniques avancées.
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour le plugin Media Library Assistant à la version 3.35 ou supérieure. Cette version inclut les correctifs nécessaires pour atténuer la vulnérabilité XSS. Si une mise à jour immédiate n'est pas possible, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès aux fonctionnalités du plugin aux utilisateurs disposant de privilèges limités et l'utilisation d'un plugin de sécurité WordPress capable de détecter et de prévenir les attaques XSS. Il est également crucial de vérifier régulièrement les pages WordPress à la recherche de contenu suspect. Effectuer des sauvegardes régulières du site web est une pratique recommandée pour pouvoir restaurer le site en cas d'attaque réussie.
Update to version 3.35, or a newer patched version
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des sites web légitimes. Ces scripts s'exécutent dans le navigateur de l'utilisateur, ce qui peut permettre à l'attaquant de voler des informations sensibles ou d'effectuer des actions en son nom.
Si vous utilisez Media Library Assistant dans une version antérieure à la 3.35, vous êtes probablement affecté. Vérifiez les pages de votre site à la recherche de contenu inattendu ou d'un comportement inhabituel.
Modifiez immédiatement les mots de passe de tous les utilisateurs ayant accès au site. Effectuez une sauvegarde du site et restaurez-le à partir d'une sauvegarde propre. Consultez un professionnel de la sécurité pour effectuer un audit complet du site.
Il existe plusieurs outils d'analyse de vulnérabilités qui peuvent aider à détecter le XSS, gratuits et payants. Certains plugins de sécurité WordPress incluent également des fonctionnalités de détection du XSS.
Dans WordPress, un utilisateur ayant le rôle de 'contributeur' a la permission d'ajouter et de modifier des articles, mais ne peut pas gérer le site en général.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.