CVE-2026-6512: Authorization Bypass in InfusedWoo Pro
Plateforme
wordpress
Composant
infusedwooPRO
Corrigé dans
5.1.3
La vulnérabilité CVE-2026-6512 affecte le plugin InfusedWoo Pro pour WordPress, permettant un contournement d'autorisation. Cette faille permet à des attaquants non authentifiés d'effectuer des actions sensibles, telles que la suppression permanente de données et la modification de statuts. Les versions concernées sont celles comprises entre 0.0.0 et 5.1.2 incluses. Une mise à jour vers la version 5.1.3 corrige cette vulnérabilité.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille pour supprimer définitivement des posts, pages, produits et commandes, ce qui peut entraîner une perte de données importante pour les commerçants utilisant InfusedWoo Pro. De plus, il est possible de supprimer en masse tous les commentaires sur n'importe quel post et de modifier le statut de n'importe quel élément. Cette capacité de suppression arbitraire peut paralyser les opérations commerciales et nuire à la réputation du site. Bien que le plugin soit spécifique à WordPress, l'exploitation réussie pourrait compromettre l'ensemble du site web, en particulier si les données supprimées sont essentielles au fonctionnement du site.
Contexte d'Exploitation
La vulnérabilité CVE-2026-6512 a été publiée le 14 mai 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la sévérité CRITICAL du CVSS indique un risque élevé. Aucune mention sur KEV ou EPSS n'est disponible. Il est recommandé de surveiller les forums de sécurité WordPress et les flux d'actualités pour détecter toute activité malveillante.
Renseignement sur les Menaces
Statut de l'Exploit
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
Mitigation et Contournements
La mitigation principale consiste à mettre à jour InfusedWoo Pro vers la version 5.1.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour est problématique, envisagez de faire une sauvegarde complète du site WordPress avant de procéder. En attendant la mise à jour, il n'existe pas de contournement direct, mais restreindre l'accès aux fonctionnalités du plugin via des plugins de sécurité WordPress peut limiter l'impact potentiel. Vérifiez également les permissions des utilisateurs du plugin pour vous assurer que seuls les utilisateurs autorisés ont accès aux fonctions de suppression et de modification. Après la mise à jour, vérifiez l'intégrité des données et assurez-vous que les fonctionnalités sensibles sont correctement protégées.
Comment corriger
Mettre à jour vers la version 5.1.3, ou une version corrigée plus récente
Questions fréquentes
Quel est le CVE-2026-6512 — Contournement d'autorisation dans InfusedWoo Pro ?
CVE-2026-6512 est une vulnérabilité critique dans le plugin InfusedWoo Pro pour WordPress qui permet à des attaquants non authentifiés de supprimer des données et de modifier des statuts.
Suis-je affecté par le CVE-2026-6512 dans InfusedWoo Pro ?
Vous êtes affecté si vous utilisez InfusedWoo Pro en version 0.0.0 à 5.1.2 incluses. Mettez à jour vers la version 5.1.3 pour corriger la vulnérabilité.
Comment corriger le CVE-2026-6512 dans InfusedWoo Pro ?
La correction consiste à mettre à jour InfusedWoo Pro vers la version 5.1.3 ou supérieure. Effectuez une sauvegarde avant la mise à jour.
Le CVE-2026-6512 est-il activement exploité ?
À ce jour, il n'y a pas d'indication d'exploitation active, mais la sévérité CRITICAL du CVSS indique un risque élevé. Surveillez les actualités de sécurité.
Où puis-je trouver l'avis officiel d'InfusedWoo Pro pour le CVE-2026-6512 ?
Consultez le site web du développeur InfusedWoo Pro ou le dépôt GitHub du plugin pour obtenir les informations les plus récentes et les notes de version.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Scannez votre projet WordPress maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...