Plateforme
wordpress
Composant
rt18-extensions
Corrigé dans
2.5.4
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le module RT-Theme 18 | Extensions pour WordPress. Cette faille permet à un attaquant d'effectuer des actions en tant qu'utilisateur authentifié sans son consentement. Elle affecte les versions de 0.0.0 jusqu'à la version 2.5. Une correction a été publiée dans la version 2.5.4.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant de modifier des paramètres de configuration, de créer ou de supprimer des utilisateurs, ou d'effectuer d'autres actions sensibles sur le site WordPress, le tout en utilisant les privilèges d'un utilisateur authentifié. Un attaquant pourrait, par exemple, modifier les permissions d'un utilisateur, installer des plugins malveillants ou même compromettre l'ensemble du site. Le risque est d'autant plus élevé si des utilisateurs disposent de privilèges d'administrateur et sont susceptibles de cliquer sur des liens malveillants.
Cette vulnérabilité a été publiée le 8 avril 2026. Il n'y a pas d'indication d'exploitation active à ce jour, ni de Proof of Concept (PoC) publiquement disponible. La vulnérabilité est classée comme MODÉRÉE selon le CVSS. Elle n'a pas encore été ajoutée au catalogue KEV de la CISA.
Websites using the RT-Theme 18 | Extensions plugin, particularly those with user accounts and sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially affect others.
• wordpress / composer / npm:
grep -r 'stmcan RT-Theme 18 | Extensions' /var/www/html/
wp plugin list | grep rt18-extensions• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/rt18-extensions/ | grep -i 'rt18-extensions'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour le module RT-Theme 18 | Extensions vers la version 2.5.4 ou supérieure. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires, telles que l'utilisation de Content Security Policy (CSP) pour limiter les sources de scripts autorisés. L'implémentation de tokens CSRF sur les formulaires sensibles peut également réduire le risque d'exploitation. Vérifiez après la mise à jour que les formulaires critiques nécessitent une authentification supplémentaire.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39710 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le module RT-Theme 18 | Extensions pour WordPress, permettant à un attaquant d'effectuer des actions non autorisées.
Oui, si vous utilisez RT-Theme 18 | Extensions dans les versions de 0.0.0 à 2.5, vous êtes affecté(e) par cette vulnérabilité.
Mettez à jour RT-Theme 18 | Extensions vers la version 2.5.4 ou supérieure pour corriger cette vulnérabilité.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de CVE-2026-39710, mais il est important de mettre à jour rapidement pour se protéger.
Consultez le site web officiel de RT-Theme ou leur page de sécurité pour obtenir des informations détaillées sur CVE-2026-39710 et les mesures de correction.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.