Plateforme
wordpress
Composant
otm-accessibly
Corrigé dans
3.0.4
3.0.4
La vulnérabilité CVE-2026-3643 est une faille de Cross-Site Scripting (XSS) stocké affectant le plugin Accessibly pour WordPress. Cette vulnérabilité permet à un attaquant d'injecter des scripts malveillants via les API REST du plugin. Les versions concernées sont celles inférieures ou égales à 3.0.3. Une mise à jour vers une version corrigée est recommandée.
Un attaquant peut exploiter cette vulnérabilité pour exécuter du code JavaScript malveillant dans le navigateur d'autres utilisateurs accédant au site WordPress. Cela peut conduire au vol de cookies de session, au détournement de session, à la modification du contenu du site web, ou à la redirection des utilisateurs vers des sites malveillants. L'absence de vérification d'authentification sur les API REST /otm-ac/v1/update-widget-options et /otm-ac/v1/update-app-config rend l'exploitation particulièrement simple. L'attaquant peut ainsi compromettre la sécurité du site et de ses utilisateurs.
Cette vulnérabilité a été rendue publique le 2026-04-14. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur le KEV de CISA. Des preuves de concept (PoC) pourraient être développées et publiées, augmentant le risque d'exploitation.
Websites using the Accessibly plugin, particularly those running WordPress versions where the plugin is actively used and not regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk if users haven't manually updated the plugin.
• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-widget-options' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-app-config' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
wp plugin list --status=active | grep accessibly• wordpress / composer / npm:
wp plugin update accessibly --alldisclosure
Statut de l'Exploit
EPSS
0.09% (percentile 26%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Accessibly vers une version corrigée dès que possible. En attendant la mise à jour, il est possible de restreindre l'accès aux API REST /otm-ac/v1/update-widget-options et /otm-ac/v1/update-app-config via un pare-feu applicatif web (WAF) ou en configurant des règles de pare-feu pour bloquer les requêtes non authentifiées vers ces endpoints. Il est également recommandé de surveiller les logs du serveur WordPress pour détecter des tentatives d'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez l'intégrité du plugin et assurez-vous qu'il n’y a pas d’anomalies dans son comportement.
Aucun correctif connu n'est disponible. Veuillez examiner attentivement les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-3643 is a stored Cross-Site Scripting (XSS) vulnerability in the Accessibly WordPress plugin, allowing attackers to inject malicious scripts via unprotected REST API endpoints.
You are affected if you are using the Accessibly plugin in versions 3.0.3 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Accessibly plugin to a version higher than 3.0.3. As a temporary measure, disable the plugin or restrict access to the vulnerable REST API endpoints.
While no public exploits have been released, the lack of authentication makes it a likely target for exploitation.
Refer to the Accessibly plugin's official website or WordPress plugin repository for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.