Plateforme
wordpress
Composant
inquiry-cart
Corrigé dans
3.4.3
3.4.3
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Inquiry Cart pour WordPress. Cette faille, présente dans toutes les versions jusqu'à 3.4.2 inclus, est due à l'absence de vérification de nonce dans la fonction rdicsettings_page. Elle permet à un attaquant non authentifié de modifier les paramètres du plugin, potentiellement en injectant des scripts malveillants, en incitant un administrateur à effectuer une action via une requête forgée.
L'impact de cette vulnérabilité CSRF est significatif. Un attaquant peut exploiter cette faille pour modifier les paramètres du plugin Inquiry Cart, y compris l'injection de scripts malveillants. Ces scripts, une fois injectés, seront stockés et exécutés dans l'interface d'administration WordPress, compromettant potentiellement la sécurité du site web. L'attaquant pourrait ainsi voler des informations sensibles, modifier le contenu du site, ou même prendre le contrôle total de l'administration WordPress. Cette vulnérabilité est particulièrement dangereuse car elle ne nécessite pas d'authentification préalable de l'attaquant, seulement la capacité de tromper un administrateur pour qu'il exécute une action malveillante.
Cette vulnérabilité a été rendue publique le 21 avril 2026. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation CSRF et de la popularité du plugin Inquiry Cart. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Inquiry Cart vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé d'activer un plugin de sécurité WordPress qui offre une protection CSRF, ou de configurer un Web Application Firewall (WAF) pour bloquer les requêtes suspectes. De plus, il est crucial de sensibiliser les administrateurs WordPress aux risques de CSRF et de les encourager à vérifier attentivement les liens et les actions qu'ils effectuent dans l’interface d’administration. Après la mise à jour, vérifiez que les paramètres du plugin Inquiry Cart sont correctement configurés et qu'il n'y a pas de scripts malveillants présents.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4090 is a Cross-Site Request Forgery (XSRF) vulnerability affecting the Inquiry Cart WordPress plugin versions up to 3.4.2. It allows attackers to manipulate plugin settings via forged requests.
Yes, if you are using the Inquiry Cart plugin in WordPress and are running version 3.4.2 or earlier, you are vulnerable to this XSRF attack.
Upgrade the Inquiry Cart plugin to the latest version that addresses this vulnerability. If immediate upgrade is not possible, implement a WAF with XSRF protection.
While no widespread exploitation has been reported, the vulnerability's nature makes it easily exploitable, so active exploitation is possible.
Check the Inquiry Cart plugin's official website and WordPress plugin repository for the latest security updates and advisories related to CVE-2026-4090.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.