CVE-2026-6510: Privilege Escalation in InfusedWoo Pro
Plateforme
wordpress
Composant
infusedwooPRO
Corrigé dans
5.1.3
La vulnérabilité CVE-2026-6510 concerne une faille de prise de contrôle de privilèges dans le plugin WordPress InfusedWoo Pro. Cette faille, due à un manque de vérification d'autorisation dans le gestionnaire AJAX iwarsaverecipe(), permet à des attaquants non authentifiés de contourner l'authentification et d'obtenir un accès complet aux comptes utilisateurs, y compris les administrateurs. Les versions affectées sont celles comprises entre 0.0.0 et 5.1.2 incluses. Une version corrigée, 5.1.3, est désormais disponible.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
L'impact de cette vulnérabilité est extrêmement élevé. Un attaquant peut exploiter cette faille pour créer une recette d'automatisation malveillante qui combine un déclencheur HTTP POST avec une action d'auto-connexion. En visitant une URL spécialement conçue, un attaquant non authentifié peut ainsi recevoir des cookies d'authentification pour n'importe quel compte utilisateur ciblé, y compris celui d'administrateur. Cela permet un contournement complet de l'authentification, donnant à l'attaquant un contrôle total sur le site WordPress et ses données. Les données sensibles telles que les informations clients, les commandes, et les données de configuration du site sont alors compromises. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite aucune authentification préalable de l'attaquant.
Contexte d'Exploitation
La vulnérabilité CVE-2026-6510 a été publiée le 14 mai 2026. Il n'y a pas d'informations disponibles concernant son inclusion dans KEV ou son score EPSS. Aucune preuve d'exploitation active n'a été signalée à ce jour, mais la simplicité de l'exploitation potentielle rend cette vulnérabilité particulièrement préoccupante. Consultez la publication NVD pour plus d'informations.
Renseignement sur les Menaces
Statut de l'Exploit
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
Mitigation et Contournements
La mitigation principale consiste à mettre à jour le plugin InfusedWoo Pro vers la version 5.1.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à désactiver le plugin iwarsaverecipe() ou à restreindre l'accès à ce gestionnaire AJAX aux utilisateurs authentifiés et autorisés. Il est également recommandé de surveiller les journaux du serveur WordPress pour détecter toute activité suspecte liée à l'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez que le plugin fonctionne correctement et qu'il n'y a pas de conflits avec d'autres plugins ou thèmes.
Comment corriger
Mettre à jour vers la version 5.1.3, ou une version corrigée plus récente
Questions fréquentes
Quel est le CVE-2026-6510 — prise de contrôle de privilèges dans InfusedWoo Pro ?
CVE-2026-6510 est une vulnérabilité critique dans le plugin InfusedWoo Pro pour WordPress qui permet à des attaquants non authentifiés de contourner l'authentification et d'obtenir un accès administrateur via une faille de vérification d'autorisation.
Suis-je affecté par le CVE-2026-6510 dans InfusedWoo Pro ?
Vous êtes affecté si vous utilisez InfusedWoo Pro versions 0.0.0–5.1.2. Vérifiez votre version et mettez à jour immédiatement.
Comment corriger le CVE-2026-6510 dans InfusedWoo Pro ?
Mettez à jour InfusedWoo Pro vers la version 5.1.3 ou supérieure. En attendant, désactivez le plugin iwarsaverecipe() ou restreignez son accès.
Le CVE-2026-6510 est-il activement exploité ?
Bien qu'aucune exploitation active n'ait été signalée, la simplicité de l'exploitation potentielle rend cette vulnérabilité préoccupante. Une surveillance accrue est recommandée.
Où puis-je trouver l'avis officiel d'InfusedWoo Pro pour le CVE-2026-6510 ?
Consultez le site web du développeur InfusedWoo Pro ou le dépôt GitHub du plugin pour l'avis officiel et les instructions de mise à jour.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Scannez votre projet WordPress maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...