Plateforme
wordpress
Composant
worker
Corrigé dans
4.9.32
Le plugin ManageWP Worker pour WordPress est vulnérable à une attaque de Cross-Site Scripting (XSS) stockée. Cette faille, présente dans les versions 4.9.31 et antérieures, est due à une validation insuffisante des entrées et à un échappement incorrect des sorties. Un attaquant non authentifié peut exploiter cette vulnérabilité pour injecter des scripts web arbitraires qui s'exécuteront chaque fois qu'un utilisateur accédera à une page compromise. La version 4.9.32 corrige cette faille.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript malveillant dans des pages du site WordPress. Ce code peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites malveillants, modifier le contenu de la page ou même prendre le contrôle du site web. L'impact est amplifié si le plugin est utilisé par de nombreux utilisateurs ou si les pages compromises sont fréquemment consultées. Cette vulnérabilité pourrait également être utilisée pour lancer des attaques de phishing ciblées contre les utilisateurs du site, en leur faisant croire qu'ils interagissent avec des éléments légitimes du site alors qu'ils sont en réalité victimes d'une attaque. L'attaquant peut potentiellement compromettre les données sensibles stockées dans le site WordPress.
Cette vulnérabilité est actuellement publique et pourrait être exploitée. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. La vulnérabilité a été publiée le 2026-04-13. Il n'est pas encore listé sur le KEV de CISA, mais sa sévérité élevée justifie une surveillance attentive. Des preuves de concept (PoC) pourraient être publiés prochainement, augmentant le risque d'exploitation.
WordPress websites utilizing the ManageWP Worker plugin, particularly those running versions 4.9.31 or earlier, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites heavily reliant on user-generated content within the ManageWP Worker plugin are also more vulnerable.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/wp-content/plugins/managewp-worker/• wordpress / composer / npm:
wp plugin list --status=active | grep managewp-worker• wordpress / composer / npm:
wp plugin update managewp-worker --alldisclosure
patch
Statut de l'Exploit
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour le plugin ManageWP Worker vers la version 4.9.32 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement le plugin ou de restreindre son accès aux utilisateurs autorisés. En attendant, vous pouvez implémenter des règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des charges utiles XSS suspectes. Assurez-vous également que votre WordPress est à jour et que tous les autres plugins sont à jour pour minimiser la surface d'attaque. Surveillez attentivement les journaux d'accès et d'erreurs de votre serveur web pour détecter toute activité suspecte.
Mettre à jour vers la version 4.9.32, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39463 is a Stored Cross-Site Scripting (XSS) vulnerability in the ManageWP Worker WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using ManageWP Worker plugin versions 4.9.31 or earlier. Upgrade to 4.9.32 to resolve the issue.
Upgrade the ManageWP Worker plugin to version 4.9.32 or later. Consider WAF rules as a temporary workaround if upgrading is not immediately possible.
While no public exploits are currently known, the ease of exploitation for XSS vulnerabilities suggests a potential risk of exploitation.
Refer to the ManageWP website and WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.