Plateforme
wordpress
Composant
wp-job-portal
Corrigé dans
2.5.0
La vulnérabilité CVE-2026-4758 est une faille d'exécution de code à distance (RCE) affectant le plugin WP Job Portal pour WordPress. Elle permet à un attaquant authentifié de supprimer des fichiers arbitraires sur le serveur, pouvant mener à une exécution de code à distance. Les versions affectées sont toutes les versions inférieures ou égales à 2.4.9. La vulnérabilité a été corrigée dans la version 2.5.0.
Le plugin WP Job Portal pour WordPress présente une vulnérabilité critique de suppression arbitraire de fichiers. Cette faille, identifiée comme CVE-2026-4758, est due à une validation insuffisante des chemins de fichiers dans la fonction WPJOBPORTALcustomfields::removeFileCustom. Un attaquant authentifié, disposant d'un accès de niveau Abonné ou supérieur, peut exploiter cette vulnérabilité pour supprimer des fichiers arbitraires sur le serveur. Cela peut facilement conduire à une exécution de code à distance (RCE) si des fichiers critiques, tels que wp-config.php, sont supprimés. La vulnérabilité affecte toutes les versions jusqu'à et y compris la 2.4.9, ce qui rend l'action immédiate cruciale pour atténuer le risque. Le potentiel de compromission complète du site web est important, soulignant la gravité de ce problème.
Un attaquant disposant d'un accès de niveau Abonné ou supérieur peut exploiter cette vulnérabilité en créant des requêtes malveillantes pour manipuler la fonction WPJOBPORTALcustomfields::removeFileCustom et spécifier des chemins de fichiers arbitraires à supprimer. L'absence de validation appropriée du chemin permet à l'attaquant de contourner les protections de sécurité et de supprimer des fichiers critiques. La suppression de wp-config.php est particulièrement dangereuse car elle contient des informations d'identification sensibles de la base de données, ce qui pourrait potentiellement accorder à l'attaquant un accès total au site web et permettre l'exécution de code à distance. La facilité relative d'exploitation combinée au fort potentiel d'impact fait de ce problème une préoccupation de sécurité sérieuse.
Statut de l'Exploit
EPSS
0.28% (percentile 51%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation pour CVE-2026-4758 consiste à mettre à jour le plugin WP Job Portal vers la version 2.5.0 ou ultérieure. Cette version inclut une correction pour le problème de validation du chemin de fichier, empêchant la suppression non autorisée de fichiers. En tant que mesure temporaire, restreignez les permissions des utilisateurs ayant le rôle d'Abonné ou supérieur afin de limiter leur capacité à effectuer des actions sensibles. Surveiller régulièrement les journaux du serveur à la recherche d'activités suspectes peut également aider à détecter et à répondre aux tentatives d'exploitation. Mettre à jour le plugin est la solution la plus efficace et recommandée pour résoudre cette vulnérabilité.
Mettez à jour vers la version 2.5.0, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité de sécurité dans le plugin WP Job Portal qui permet la suppression arbitraire de fichiers.
Toutes les versions jusqu'à et y compris la 2.4.9 sont vulnérables à cette vulnérabilité.
Mettez à jour le plugin WP Job Portal vers la version 2.5.0 ou ultérieure.
Restreignez les permissions des utilisateurs ayant le rôle d'Abonné ou supérieur et surveillez les journaux du serveur.
Si vous suspectez que votre site web a été compromis, effectuez un audit de sécurité complet et envisagez de restaurer à partir d'une sauvegarde propre.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.