Plateforme
wordpress
Composant
prismatic
Corrigé dans
3.7.4
3.7.4
Le plugin Prismatic pour WordPress présente une vulnérabilité de Cross-Site Scripting (XSS) stocké. Cette faille exploite le pseudo-shortcode 'prismatic_encoded' et permet à un attaquant d'injecter des scripts web malveillants. Les versions concernées sont celles jusqu'à la version 3.7.3 inclus. Une mise à jour vers la version 3.7.4 corrige cette vulnérabilité.
Un attaquant non authentifié peut exploiter cette vulnérabilité en soumettant un commentaire contenant un pseudo-shortcode 'prismatic_encoded' malveillant. Ce script sera stocké sur le serveur et exécuté à chaque fois qu'un utilisateur accède à la page compromise. L'impact peut inclure le vol de cookies de session, le détournement d'utilisateurs vers des sites malveillants, ou même la modification du contenu du site web. La persistance du script stocké augmente le risque d'attaques répétées et d'impact à long terme sur les visiteurs du site.
Cette vulnérabilité a été rendue publique le 16 avril 2026. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de XSS stocké rend cette vulnérabilité potentiellement dangereuse. Il n'y a pas d'entrée dans le KEV à ce jour. Des preuves de concept (PoC) pourraient être publiées à tout moment, augmentant le risque d'exploitation.
Websites using the Prismatic WordPress plugin, especially those with public comment sections or forums, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are particularly vulnerable, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'prismatic_encoded' /var/www/html/wp-content/plugins/prismatic/• wordpress / composer / npm:
wp plugin list | grep prismatic• wordpress / composer / npm:
wp plugin update prismatic• generic web: Inspect comment fields for suspicious shortcode usage, particularly those containing encoded characters.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Prismatic vers la version 3.7.4 ou supérieure. En attendant la mise à jour, il est possible de désactiver temporairement le pseudo-shortcode 'prismatic_encoded' dans le code du plugin, bien que cela puisse affecter les fonctionnalités du plugin. Surveillez les commentaires soumis pour détecter d'éventuelles injections de code et supprimez-les immédiatement. Un pare-feu applicatif web (WAF) peut également être configuré pour bloquer les requêtes contenant des schémas d'injection XSS.
Mettre à jour vers la version 3.7.4, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-3876 is a Stored XSS vulnerability in the Prismatic WordPress plugin, allowing attackers to inject malicious scripts via the 'prismatic_encoded' shortcode.
You are affected if you are using Prismatic WordPress plugin versions prior to 3.7.4. Check your plugin version and upgrade immediately.
Upgrade the Prismatic WordPress plugin to version 3.7.4 or later. If immediate upgrade is not possible, disable the plugin as a temporary workaround.
There are currently no known active campaigns exploiting CVE-2026-3876, but prompt remediation is still recommended.
Refer to the Prismatic plugin's official website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.