Plateforme
wordpress
Composant
meta-box
Corrigé dans
5.11.2
La vulnérabilité CVE-2026-39468 affecte le plugin Meta Box pour WordPress, permettant un accès arbitraire de fichiers. Cette faille permet à des attaquants authentifiés, avec un accès de niveau Contributeur ou supérieur, de supprimer des fichiers sur le serveur. Les versions concernées sont celles inférieures ou égales à 5.11.1. Une mise à jour vers la version 5.11.2 corrige cette vulnérabilité.
L'impact de cette vulnérabilité est significatif. Un attaquant authentifié peut supprimer des fichiers critiques sur le serveur WordPress, tels que wp-config.php. La suppression de ce fichier peut entraîner une exécution de code à distance (RCE), donnant à l'attaquant un contrôle total sur le serveur. La simplicité de l'exploitation, ne nécessitant qu'un accès de niveau Contributeur, augmente le risque. La suppression d'autres fichiers sensibles pourrait également compromettre la confidentialité des données et l'intégrité du site.
Cette vulnérabilité a été rendue publique le 13 avril 2026. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun PoC public n'a été identifié, mais la simplicité de la vulnérabilité suggère qu'un tel PoC pourrait être développé rapidement. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
WordPress sites utilizing the Meta Box plugin, particularly those with a large number of users with Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Sites relying on older, unpatched versions of Meta Box are most exposed.
• wordpress / composer / npm:
wp plugin list --status=active | grep 'Meta Box'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status meta-box-plugin• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/meta-box/ -type f -name '*delete.php*'disclosure
Statut de l'Exploit
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Meta Box vers la version 5.11.2 ou supérieure. En attendant la mise à jour, il est possible de restreindre les permissions des utilisateurs Contributeur pour limiter leur capacité à supprimer des fichiers. Il est également recommandé de mettre en place une surveillance accrue des activités de suppression de fichiers sur le serveur. Enfin, une solution temporaire pourrait consister à restreindre les droits d'écriture sur les répertoires sensibles, bien que cela puisse affecter la fonctionnalité du plugin.
Mettre à jour vers la version 5.11.2, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39468 is a HIGH severity vulnerability in the Meta Box WordPress plugin allowing authenticated users to delete files, potentially leading to remote code execution.
You are affected if you are using Meta Box version 5.11.1 or earlier. Upgrade to 5.11.2 or later to mitigate the risk.
Upgrade the Meta Box plugin to version 5.11.2 or later through the WordPress plugin management interface.
As of now, there are no confirmed reports of active exploitation, but the potential for RCE warrants prompt action.
Refer to the Meta Box plugin website and WordPress security announcements for the official advisory and further details.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.