WordPress - CVE-2026-4314
Date de publication :
Il s'agit d'une vulnérabilité de gestion incorrecte des privilèges dans le module Menu Editor du plugin WP Extended pour WordPress.
WP Extended est un plugin WordPress tout-en-un regroupant de nombreuses fonctionnalités d'administration, dont un éditeur de menus, une gestion avancée des utilisateurs et une personnalisation du tableau de bord.
Elle permet à un attaquant authentifié avec un accès de niveau Abonné d'obtenir des capacités administrateur, de modifier des options WordPress arbitraires et de créer de nouveaux comptes administrateurs.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Élévation de privilèges
Exploitation
CWE-269 : Improper Privilege Management
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
WP Extended versions 3.2.4 et antérieures