Plateforme
wordpress
Composant
woocommerce
Corrigé dans
5.4.4
5.4.5
5.6.3
5.7.3
5.8.2
5.9.2
6.0.2
6.1.3
6.2.3
6.3.2
6.4.2
6.5.2
6.6.2
6.7.1
6.8.3
6.9.5
7.0.2
7.1.2
7.2.4
7.3.1
7.4.2
7.5.2
7.6.2
7.7.3
7.8.4
7.9.2
8.0.5
8.1.4
8.2.5
8.3.4
8.4.3
8.5.5
8.6.4
8.7.3
8.8.7
8.9.5
9.0.4
9.1.7
9.2.5
9.3.6
9.4.5
9.5.4
9.6.4
9.7.3
9.8.7
9.9.7
10.0.6
10.1.4
10.2.4
10.3.8
10.4.4
10.5.3
10.5.3
La vulnérabilité CVE-2026-3589 affecte le plugin WooCommerce pour WordPress, présente dans toutes les versions inférieures ou égales à 10.5.3 (exclusivement). Elle se manifeste par une faille de Cross-Site Request Forgery (XSRF) due à une validation incorrecte ou absente des jetons nonce. Un attaquant peut exploiter cette faille pour inciter un administrateur de site à effectuer des actions non désirées, compromettant potentiellement la sécurité du site.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant non authentifié d'effectuer des actions sur le site WooCommerce en se faisant passer pour un administrateur. Cela peut inclure la modification de paramètres de configuration, la suppression de produits, la création de nouveaux utilisateurs ou même l'exécution de code malveillant si le site est configuré avec des fonctionnalités avancées. L'attaquant doit cependant réussir à tromper l'administrateur en le faisant cliquer sur un lien malicieux ou en l'incitant à effectuer une action spécifique. Bien que l'exploitation nécessite une interaction de l'administrateur, la simplicité de l'attaque la rend potentiellement dangereuse, surtout si l'administrateur est sujet à l'ingénierie sociale.
Le CVE-2026-3589 a été publié le 2026-03-10. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité XSRF la rend potentiellement exploitable. Il n'est pas répertorié sur le KEV de CISA à ce jour. Des preuves de concept (PoC) pourraient être publiés à l'avenir, augmentant le risque d'exploitation.
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour WooCommerce vers la version 10.5.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de renforcer la sécurité du site en limitant les privilèges des utilisateurs, en activant l'authentification à deux facteurs pour les administrateurs et en sensibilisant les utilisateurs aux risques d'ingénierie sociale. Des règles WAF (Web Application Firewall) peuvent être configurées pour bloquer les requêtes suspectes contenant des paramètres non validés. Vérifiez après la mise à jour que la validation nonce fonctionne correctement en testant des actions administratives.
Mettre à jour vers la version 10.5.3, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-3589 décrit une vulnérabilité de Cross-Site Request Forgery (XSRF) dans le plugin WooCommerce pour WordPress, permettant à un attaquant d'effectuer des actions non autorisées.
Oui, si vous utilisez WooCommerce version 10.5.3 ou inférieure, vous êtes potentiellement affecté par cette vulnérabilité.
Mettez à jour WooCommerce vers la version 10.5.3 ou supérieure pour corriger cette vulnérabilité. En attendant, renforcez la sécurité de votre site.
À ce jour, aucune exploitation active n'a été confirmée, mais la vulnérabilité est potentiellement exploitable.
Consultez le site web de WooCommerce ou le dépôt GitHub du plugin pour obtenir les informations les plus récentes sur cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.