Plateforme
wordpress
Composant
debugger-troubleshooter
Corrigé dans
1.3.3
La vulnérabilité CVE-2026-5130 affecte le plugin Debugger & Troubleshooter pour WordPress. Elle permet une élévation de privilèges non authentifiée. Un attaquant distant peut, en exploitant cette faille, obtenir un accès administrateur au site WordPress affecté. Les versions affectées sont celles antérieures ou égales à la version 1.3.2. La version 1.4.0 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-5130 dans le plugin Debugger & Troubleshooter pour WordPress permet une élévation de privilèges non authentifiée. Les versions du plugin jusqu'à la 1.3.2 sont vulnérables. Le problème réside dans le fait que le plugin accepte directement la valeur du cookie wpdebugtroubleshootsimulateuser comme un ID utilisateur, sans aucune validation cryptographique ni contrôle d’autorisation. Cela permet à un attaquant non authentifié de se faire passer pour n’importe quel utilisateur en définissant simplement le cookie sur l’ID utilisateur de sa cible. Cette vulnérabilité pourrait permettre à un attaquant d’accéder à des informations sensibles, d’effectuer des actions au nom d’un autre utilisateur ou même de prendre le contrôle total du site Web WordPress.
Un attaquant pourrait exploiter cette vulnérabilité en créant un cookie avec la valeur de l’ID utilisateur d’un administrateur ou de tout autre utilisateur disposant de privilèges élevés. Ce cookie peut être défini via JavaScript dans le navigateur de l’utilisateur ou par le biais d’autres techniques de manipulation de cookies. Une fois le cookie défini, le plugin utilisera cette valeur pour déterminer l’utilisateur actuel, permettant à l’attaquant d’agir en tant que cet utilisateur. La facilité avec laquelle cette vulnérabilité peut être exploitée en fait un risque important pour les sites Web WordPress.
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité consiste à mettre à jour le plugin Debugger & Troubleshooter à la version 1.4.0 ou ultérieure. Cette version corrige le défaut en mettant en œuvre une validation appropriée de la valeur du cookie wpdebugtroubleshootsimulateuser et en vérifiant l’autorisation avant de l’utiliser pour déterminer l’utilisateur actuel. En attendant, comme mesure d’atténuation temporaire, il est recommandé de désactiver le plugin si cela n’est pas absolument nécessaire. Il est essentiel d’appliquer cette mise à jour dès que possible pour protéger votre site Web WordPress contre les attaques potentielles.
Mettre à jour vers la version 1.4.0, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une attaque qui permet à un utilisateur disposant de privilèges limités d'obtenir un accès à des fonctions ou à des données auxquelles il ne devrait normalement pas avoir accès.
Vérifiez la version du plugin Debugger & Troubleshooter. S'il est antérieur à la version 1.4.0, il est vulnérable.
Désactivez le plugin temporairement jusqu'à ce que vous puissiez le mettre à jour.
Assurez-vous que tous vos plugins et le cœur de WordPress sont à jour. Utilisez des mots de passe forts et envisagez de mettre en œuvre un pare-feu d'applications Web (WAF).
Vous pouvez trouver plus d'informations dans la base de données de vulnérabilités CVE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-5130
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.