Plateforme
wordpress
Composant
grandblog
Corrigé dans
3.1.1
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans Grand Blog, affectant les versions de 0.0.0 à 3.1. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié sans son consentement. La mise à jour vers une version corrigée est recommandée pour éliminer ce risque.
La vulnérabilité CSRF dans Grand Blog permet à un attaquant de manipuler les requêtes HTTP envoyées par un utilisateur authentifié. Un attaquant pourrait, par exemple, modifier des paramètres de configuration, supprimer des données ou créer de nouveaux contenus sans l'autorisation de l'utilisateur. L'impact potentiel est significatif, car un attaquant peut compromettre l'intégrité des données et la sécurité du site web. Cette vulnérabilité est particulièrement dangereuse si le site web est utilisé pour gérer des informations sensibles ou effectuer des transactions financières.
La vulnérabilité CSRF dans Grand Blog n'a pas encore été ajoutée au KEV de CISA. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité pour un attaquant de tromper un utilisateur authentifié pour qu'il effectue une action non désirée. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité CSRF la rend potentiellement exploitable.
Websites using the Grand Blog WordPress plugin, particularly those with administrative users who frequently interact with the plugin's features, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources could also be affected, as a compromise of one site could potentially lead to the exploitation of others.
• wordpress / composer / npm:
grep -r 'grandblog_settings_update' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/grandblog/ | grep -i 'csrf-token'disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
Vecteur CVSS
En attendant la publication d'une version corrigée de Grand Blog, plusieurs mesures de mitigation peuvent être mises en œuvre. L'ajout de tokens CSRF à tous les formulaires et requêtes sensibles est une approche efficace pour prévenir les attaques. Il est également recommandé de mettre en place une politique de sécurité du contenu (CSP) pour limiter les sources de scripts autorisées. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes. Vérifiez après la mise à jour que les tokens CSRF sont correctement générés et validés.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39632 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the Grand Blog WordPress plugin, allowing attackers to perform unauthorized actions.
You are affected if you are using Grand Blog versions 0.0.0 through 3.1. Check your plugin version and upgrade as soon as a patch is available.
Upgrade to the latest version of the Grand Blog plugin as soon as a patch is released. Until then, consider implementing CSRF token protection and WAF rules.
Currently, there are no publicly known active exploitation campaigns, but it's crucial to apply the patch promptly to prevent potential attacks.
Check the Grand Blog plugin's official website and WordPress plugin repository for updates and security advisories related to CVE-2026-39632.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.