Plateforme
wordpress
Composant
newsexo
Corrigé dans
7.1.1
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WordPress NewsExo. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, potentiellement compromettant des données ou modifiant la configuration du plugin. La vulnérabilité affecte les versions de NewsExo comprises entre 0.0.0 et 7.1. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant de modifier le contenu du site web, de supprimer des articles, de modifier les paramètres du plugin NewsExo, ou d'effectuer d'autres actions administratives, en fonction des permissions de l'utilisateur concerné. Un attaquant pourrait, par exemple, créer de nouveaux articles avec du contenu malveillant, ou rediriger les utilisateurs vers des sites web externes. Le risque est accru si l'attaquant peut compromettre un compte administrateur, ce qui lui donnerait un contrôle total sur le site web. Bien que cette vulnérabilité ne permette pas une exécution de code à distance directe, elle peut être combinée avec d'autres faiblesses pour obtenir un accès plus large au système.
Cette vulnérabilité a été rendue publique le 8 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'a été identifié. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC public et d'exploitation confirmée.
Websites using the NewsExo WordPress plugin, particularly those with user accounts and sensitive data managed through the plugin, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially impact others.
• wordpress / plugin:
grep -r 'newsExo_ajax_nonce' /var/www/html/wp-content/plugins/• wordpress / plugin:
wp plugin list --status=inactive | grep NewsExo• wordpress / plugin: Check for unusual or unauthorized actions within the NewsExo plugin's admin interface.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour NewsExo vers la dernière version disponible, qui corrige cette vulnérabilité CSRF. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. L'implémentation de mesures de sécurité CSRF, telles que l'utilisation de tokens CSRF pour les actions sensibles, peut aider à atténuer le risque. Il est également recommandé de désactiver temporairement les fonctionnalités les plus sensibles du plugin NewsExo jusqu'à ce que la mise à jour puisse être appliquée. Vérifiez après la mise à jour que les actions sensibles nécessitent une authentification forte et l'utilisation de tokens CSRF.
Aucun correctif connu n'est disponible. Veuillez examiner en détail les informations relatives à la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39618 is a Cross-Site Request Forgery (CSRF) vulnerability affecting NewsExo WordPress plugin versions 0.0.0 through 7.1, allowing attackers to perform unauthorized actions.
If you are using NewsExo WordPress plugin versions 0.0.0 to 7.1, you are potentially affected by this vulnerability. Upgrade immediately.
Upgrade the NewsExo WordPress plugin to the latest available version from the WordPress plugin repository. Consider implementing CSP headers and server-side CSRF protection as temporary workarounds.
There is currently no evidence of active exploitation, but the vulnerability is publicly known and could be exploited.
Check the NewsExo plugin page on the WordPress plugin repository for updates and security advisories.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.