Plateforme
wordpress
Composant
perfmatters
Corrigé dans
2.5.10
2.6.0
La vulnérabilité CVE-2026-4351 est une faille de traversal de chemin (Path Traversal) affectant le plugin Perfmatters pour WordPress. Cette faille permet à un attaquant authentifié de surécrire des fichiers arbitraires sur le serveur. Elle est présente dans toutes les versions du plugin jusqu'à et y compris la version 2.5.9. Une mise à jour vers la version 2.6.0 corrige cette vulnérabilité.
Un attaquant ayant un accès de niveau Subscriber ou supérieur peut exploiter cette vulnérabilité pour surécrire des fichiers critiques sur le serveur WordPress. Cela peut conduire à la prise de contrôle complète du site web, à l'exécution de code arbitraire, à la modification de données sensibles ou à la suppression de fichiers. La capacité de surécrire des fichiers permet à l'attaquant d'injecter du code malveillant, de compromettre d'autres plugins ou thèmes, ou de modifier la configuration du serveur. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite qu'un accès limité au site WordPress.
Cette vulnérabilité a été publiée le 2026-04-10. Il n'y a pas d'indication d'exploitation active à ce jour, ni d'ajout au catalogue KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, augmentant le risque d'exploitation. La CVSS score de 8.1 indique une sévérité élevée.
WordPress websites utilizing the Perfmatters plugin, particularly those with Subscriber-level users or higher, are at risk. Shared hosting environments where users have limited control over file permissions are especially vulnerable. Sites with outdated plugin versions or those lacking robust security practices are also at increased risk.
• wordpress / composer / npm:
grep -r "Snippet::update\(" /var/www/html/wp-content/plugins/perfmatters/• generic web:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=pmcs_action_handler&snippets%5B%5D=../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=all | grep perfmattersdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Perfmatters vers la version 2.6.0 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre les permissions des utilisateurs ayant un accès de niveau Subscriber ou supérieur. En attendant la mise à jour, il est possible de mettre en place des règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des caractères de traversal de chemin (par exemple, ../). Surveillez également les journaux d'accès et d'erreurs du serveur pour détecter des tentatives d'accès non autorisées aux fichiers.
Mettre à jour vers la version 2.6.0, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4351 is a Path Traversal vulnerability affecting the Perfmatters WordPress plugin, allowing attackers to overwrite files. It impacts versions up to 2.5.9 and has a CVSS score of 8.1 (HIGH).
You are affected if you are using the Perfmatters plugin in WordPress versions 2.5.9 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Perfmatters plugin to version 2.6.0 or later. As a temporary workaround, restrict file access permissions and implement WAF rules to block suspicious requests.
Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly due to the vulnerability's severity.
Refer to the official Perfmatters plugin website and WordPress.org plugin repository for the latest security advisories and updates related to CVE-2026-4351.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.