Plateforme
php
Composant
my-calendar
Corrigé dans
3.7.8
3.7.7
La vulnérabilité CVE-2026-40308 affecte le plugin My Calendar, permettant à des utilisateurs non authentifiés d'extraire des événements de calendrier, y compris ceux marqués comme privés, sur les réseaux WordPress Multisite. Sur les installations WordPress Single Site, cette vulnérabilité peut provoquer un crash du thread PHP worker, créant ainsi un vecteur d'attaque par déni de service (DoS). Les versions concernées sont 3.7.6 et toutes les versions antérieures à 3.7.7. Une version corrigée (3.7.7) est désormais disponible.
La vulnérabilité CVE-2026-40308 dans le plugin My Calendar représente un risque important pour les sites web WordPress, en particulier dans les environnements Multisite. Elle permet à des attaquants non authentifiés d'accéder à des événements de calendrier privés ou cachés sur n'importe quel sous-domaine du réseau Multisite, compromettant la confidentialité des données. Sur les installations WordPress à site unique, l'exploitation de cette vulnérabilité peut déclencher un crash du thread de travail PHP, entraînant une attaque par déni de service (DoS) qui interrompt la disponibilité du site.
Un attaquant peut exploiter cette vulnérabilité en envoyant des requêtes HTTP soigneusement élaborées vers le point de terminaison mc_ajax. En manipulant les paramètres de la requête, l'attaquant peut contourner les contrôles d'accès et récupérer des informations de calendrier qui seraient normalement protégées. Sur les installations à site unique, une requête malveillante peut surcharger le thread de travail PHP, provoquant un crash et un déni de service. L'absence d'authentification requise pour exploiter la vulnérabilité la rend particulièrement dangereuse.
Statut de l'Exploit
EPSS
2.23% (percentile 85%)
CISA SSVC
La solution recommandée est de mettre à jour immédiatement le plugin My Calendar à la version 3.7.7 ou supérieure. Cette version inclut une correction pour remédier aux vulnérabilités IDOR et DoS. De plus, examinez et renforcez les politiques de sécurité de votre site web, notamment en mettant en œuvre une authentification robuste et en limitant l'accès aux ressources sensibles. Surveiller les journaux du serveur à la recherche d'activités suspectes est également essentiel pour détecter et répondre aux attaques potentielles.
Actualice el plugin My Calendar a la versión 3.7.7 o superior para mitigar la vulnerabilidad de divulgación de información no autenticada. Esta actualización corrige la forma en que se manejan los argumentos de entrada, previniendo la extracción de eventos de calendario de otros sitios en una instalación de WordPress Multisite.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
IDOR (Insecure Direct Object Reference) se produit lorsqu'une application web permet à un utilisateur d'accéder à des objets internes en utilisant un identifiant prévisible ou manipulable, sans vérifications d'autorisation appropriées.
DoS signifie Denial of Service. C'est une attaque qui tente de rendre un service en ligne indisponible à ses utilisateurs légitimes, généralement en surchargeant le système de trafic ou de requêtes.
Si la mise à jour immédiate n'est pas possible, envisagez de mettre en œuvre des mesures d'atténuation temporaires, telles que la restriction de l'accès au point de terminaison vulnérable via un pare-feu d'applications web (WAF).
Vérifiez la version du plugin My Calendar sur votre site web. Si vous utilisez une version antérieure à 3.7.7, vous êtes vulnérable.
Il existe des scanners de vulnérabilités WordPress qui peuvent détecter cette vulnérabilité. Consultez la documentation de votre fournisseur de sécurité pour plus d'informations.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.