Scanner gratuitement
MEDIUMCVE-2026-3309CVSS 6.5

CVE-2026-3309: Arbitrary Shortcode Execution in ProfilePress

Plateforme

wordpress

Composant

wp-user-avatar

Corrigé dans

4.16.12

AI Confidence: highNVDEPSS 0.0%Révisé: mai 2026
Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-3309 affecte le plugin ProfilePress pour WordPress, permettant une exécution arbitraire de shortcodes. Cette faille est due à un manque de validation des données fournies par l'utilisateur dans les champs de facturation, qui sont ensuite interpolés dans des shortcodes sans une désinfection adéquate. Les versions concernées sont comprises entre 0.0.0 et 4.16.11 incluses. Une correction est disponible dans la version 4.16.12.

WordPress

Détecte cette CVE dans ton projet

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement

Impact et Scénarios d'Attaque

Un attaquant non authentifié peut exploiter cette vulnérabilité en soumettant des champs de facturation spécialement conçus lors du processus de paiement. Ces champs, contenant du code de shortcode malveillant, seront interprétés et exécutés par WordPress, permettant à l'attaquant d'injecter du contenu arbitraire, de modifier des paramètres de configuration, voire de compromettre l'ensemble du site WordPress. L'impact peut aller de l'affichage de contenu non désiré à la prise de contrôle complète du site web, en fonction des privilèges accordés aux shortcodes exécutés. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite aucune authentification préalable.

Contexte d'Exploitation

Cette vulnérabilité a été rendue publique le 4 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité d'une interaction utilisateur (soumission d'un formulaire de paiement malveillant). Cette vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.04% (percentile 11%)

CISA SSVC

Exploitationnone
Automatisableyes
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N6.5MEDIUMAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityLowRisque d'exposition de données sensiblesIntegrityLowRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Faible — accès partiel ou indirect à certaines données.
Integrity
Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantwp-user-avatar
Fournisseurwordfence
Plage affectéeCorrigé dans
0.0.0 – 4.16.114.16.12

Informations sur le paquet

Installations actives
100KPopulaire
Note du plugin
3.1
Nécessite WordPress
6.0+
Compatible jusqu'à
7.0
Nécessite PHP
7.4+
Site web

Classification de Faiblesse (CWE)

CWE-94

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour

Mitigation et Contournements

La mitigation principale consiste à mettre à jour le plugin ProfilePress vers la version 4.16.12 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement les fonctionnalités de shortcode dans les champs de facturation, si cela est possible via les paramètres du plugin. En attendant la mise à jour, une solution de contournement pourrait consister à utiliser un Web Application Firewall (WAF) pour filtrer les requêtes contenant des shortcodes potentiellement malveillants dans les champs de facturation. Après la mise à jour, vérifiez l'intégrité du plugin en comparant le hachage des fichiers avec celui fourni par l'éditeur.

Comment corriger

Mettre à jour vers la version 4.16.12, ou une version corrigée plus récente

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentes

Qu'est-ce que CVE-2026-3309 — exécution arbitraire de shortcodes dans ProfilePress ?

CVE-2026-3309 est une vulnérabilité dans le plugin ProfilePress pour WordPress qui permet à un attaquant d'exécuter du code malveillant via des champs de facturation.

Suis-je affecté par CVE-2026-3309 dans ProfilePress ?

Si vous utilisez ProfilePress en version 0.0.0 à 4.16.11, vous êtes potentiellement affecté. Mettez à jour vers 4.16.12 ou supérieur.

Comment corriger CVE-2026-3309 dans ProfilePress ?

Mettez à jour le plugin ProfilePress vers la version 4.16.12 ou supérieure. En attendant, désactivez temporairement les shortcodes dans les champs de facturation si possible.

CVE-2026-3309 est-il activement exploité ?

À l'heure actuelle, il n'y a aucune indication d'exploitation active, mais la vulnérabilité reste présente dans les versions non corrigées.

Où puis-je trouver l'avis officiel de ProfilePress pour CVE-2026-3309 ?

Consultez le site web de ProfilePress ou le dépôt GitHub du plugin pour l'avis officiel et les détails de la correction.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE