Plateforme
wordpress
Composant
add-custom-fields-to-media
Corrigé dans
2.0.4
Le plugin Add Custom Fields to Media pour WordPress présente une vulnérabilité Cross-Site Request Forgery (XSRF) dans les versions allant de 0.0.0 à 2.0.3. Cette faille est due à l'absence de validation de nonce lors de la suppression de champs personnalisés. La mise à jour vers la version 2.0.4 corrige ce problème et est fortement recommandée.
Un attaquant peut exploiter cette vulnérabilité XSRF pour supprimer des champs personnalisés arbitraires associés aux médias, sans authentification préalable. L'attaquant peut créer une requête malveillante et inciter un utilisateur authentifié à la soumettre, ce qui entraînerait la suppression non autorisée de ces champs. Cette suppression peut perturber le fonctionnement du site web et potentiellement entraîner une perte de données si ces champs personnalisés sont essentiels au processus de gestion des médias. Bien que la vulnérabilité ne permette pas un accès direct aux données sensibles, elle peut être combinée avec d'autres vulnérabilités pour obtenir un contrôle plus important sur le site.
Cette vulnérabilité a été rendue publique le 19 mars 2026. Il n'y a pas d'indication d'exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'a été identifié. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Statut de l'Exploit
EPSS
0.02% (percentile 3%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin Add Custom Fields to Media vers la version 2.0.4 ou supérieure, qui corrige la vulnérabilité XSRF. En attendant la mise à jour, il est possible de limiter les risques en désactivant temporairement le plugin ou en mettant en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes suspectes. Vérifiez également les logs du serveur pour détecter des tentatives de suppression de champs inhabituelles. Après la mise à jour, vérifiez que les champs personnalisés sont toujours présents et fonctionnent correctement.
Mettre à jour vers la version 2.0.4, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4068 décrit une vulnérabilité Cross-Site Request Forgery (XSRF) dans le plugin Add Custom Fields to Media pour WordPress, permettant à un attaquant de supprimer des champs personnalisés via une requête forgée.
Si vous utilisez le plugin Add Custom Fields to Media dans les versions 0.0.0 à 2.0.3, vous êtes potentiellement affecté(e). Mettez à jour vers la version 2.0.4.
La solution est de mettre à jour le plugin Add Custom Fields to Media vers la version 2.0.4 ou supérieure. En attendant, des mesures de mitigation peuvent être mises en place.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de CVE-2026-4068, mais il est important de mettre à jour le plugin pour se protéger.
Consultez le site web du plugin ou le dépôt GitHub pour l'avis officiel concernant CVE-2026-4068.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.