Plateforme
wordpress
Composant
dx-unanswered-comments
Corrigé dans
1.7.1
1.7.1
Le plugin DX Unanswered Comments pour WordPress présente une vulnérabilité de type Cross-Site Request Forgery (XSRF). Cette faille permet à un attaquant non authentifié de modifier les paramètres du plugin, tels que la liste des auteurs et le nombre de commentaires, en exploitant une absence de validation de nonce dans le formulaire de configuration. Les versions concernées sont celles inférieures ou égales à 1.7. Une mise à jour du plugin est recommandée pour corriger cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité XSRF permet à un attaquant de modifier les paramètres de configuration du plugin DX Unanswered Comments sans autorisation. Cela peut entraîner des modifications non désirées du comportement du plugin, potentiellement affectant la gestion des commentaires non résolus sur un site WordPress. Un attaquant pourrait, par exemple, modifier la liste des auteurs autorisés à recevoir des notifications ou modifier le nombre de commentaires affichés. Bien que l'impact direct soit limité à la configuration du plugin, une compromission réussie pourrait servir de tremplin pour d'autres attaques sur le site WordPress, en particulier si l'attaquant peut inciter un administrateur à exécuter des actions malveillantes.
Cette vulnérabilité a été rendue publique le 2026-04-21. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun PoC public n'est connu. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. La sévérité est évaluée à MODÉRÉE (CVSS 4.3).
WordPress websites utilizing the DX Unanswered Comments plugin, particularly those with administrative accounts that are susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources could also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'dxuc-unanswered-comments-admin-page.php' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "DX Unanswered Comments"• wordpress / composer / npm:
wp plugin update --all• generic web: Inspect the plugin's admin page source code for missing nonce attributes in forms.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin DX Unanswered Comments vers la dernière version disponible, qui corrige cette vulnérabilité XSRF. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement le plugin. En attendant, il n'existe pas de contournement de configuration direct. Il est également recommandé de renforcer la sécurité du site WordPress en général, notamment en utilisant des mots de passe forts, en activant l'authentification à deux facteurs et en maintenant tous les plugins et thèmes à jour. Après la mise à jour, vérifiez les paramètres du plugin pour vous assurer qu'ils n'ont pas été modifiés de manière inattendue.
Aucune correction connue n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4138 is a Cross-Site Request Forgery (XSRF) vulnerability affecting the DX Unanswered Comments WordPress plugin versions up to 1.7, allowing attackers to modify plugin settings via forged requests.
You are affected if your WordPress site uses the DX Unanswered Comments plugin and is running version 1.7 or earlier. Upgrade to a patched version as soon as possible.
Upgrade the DX Unanswered Comments plugin to a version that addresses the nonce validation issue. A specific fixed version is not provided, so monitor for updates.
While no active exploitation is confirmed, the vulnerability is relatively easy to exploit and requires only social engineering, making it a potential target.
Refer to the WordPress plugin repository and the DX Unanswered Comments plugin developer's website for updates and advisories related to CVE-2026-4138.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.