Plateforme
wordpress
Composant
quran-translations-by-edc
Corrigé dans
1.7.1
1.7.1
Le plugin Quran Translations pour WordPress présente une vulnérabilité de Cross-Site Request Forgery (XSRF). Cette faille permet à un attaquant non authentifié de modifier les paramètres du plugin, compromettant potentiellement son fonctionnement. Elle affecte toutes les versions du plugin inférieures ou égales à 1.7. Une mise à jour vers une version corrigée est recommandée.
Un attaquant peut exploiter cette vulnérabilité XSRF pour modifier les options du plugin Quran Translations sans nécessiter d'authentification. Cela peut inclure la modification des options d'affichage pour les liens PDF, RSS, podcast et lecteur multimédia, ce qui pourrait entraîner un comportement inattendu ou une exposition de données sensibles. L'attaquant pourrait également potentiellement utiliser cette vulnérabilité pour modifier d'autres paramètres du plugin, compromettant ainsi l'intégrité du site WordPress. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la facilité d'exploitation de XSRF en fait une menace sérieuse.
Cette vulnérabilité a été rendue publique le 7 avril 2026. Elle n'est pas répertoriée sur le KEV de CISA à ce jour. Il n'existe pas de preuves publiques d'exploitation active, mais la nature de la vulnérabilité XSRF la rend facilement exploitable. La publication du CVE indique une probabilité d'exploitation accrue à l'avenir.
WordPress websites utilizing the Quran Translations plugin, particularly those running versions 1.7 or earlier, are at risk. Shared hosting environments where plugin updates are not consistently managed are also at increased risk, as are sites with weak access controls to the WordPress admin panel.
• wordpress / composer / npm:
grep -r 'quran_playlist_options' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep quran-translations• wordpress / composer / npm:
wp plugin list | grep quran-translationsdisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Quran Translations vers une version corrigée dès que possible. En attendant la mise à jour, vous pouvez implémenter des mesures de protection contre les attaques XSRF, telles que l'ajout de jetons CSRF (nonce) à tous les formulaires du plugin. L'utilisation d'un Web Application Firewall (WAF) configuré pour bloquer les requêtes XSRF peut également aider à atténuer le risque. Vérifiez après la mise à jour que les formulaires du plugin incluent correctement les jetons CSRF et que les options du plugin sont correctement sécurisées.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4141 is a Cross-Site Request Forgery vulnerability in the Quran Translations WordPress plugin, allowing attackers to modify settings without authentication in versions up to 1.7.
You are affected if your WordPress site uses the Quran Translations plugin version 1.7 or earlier. Upgrade to a patched version to resolve the issue.
Upgrade the Quran Translations plugin to a version newer than 1.7. Consider WAF rules and restricted access to the settings page as temporary mitigations.
There is currently no evidence of active exploitation campaigns targeting CVE-2026-4141.
Check the official Quran Translations plugin page on WordPress.org for updates and security advisories.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.