WordPress - CVE-2026-5294
Date de publication :
Il s'agit d'une vulnérabilité d'absence de contrôle d'autorisation sur la route AJAX nopriv geekybot_frontendajax du plugin GeekyBot pour WordPress.
GeekyBot est un plugin WordPress qui intègre un assistant IA conversationnel, des fonctionnalités de chatbot, de génération de contenu automatisée et d'outils de capture de prospects pour WooCommerce sur des sites WordPress.
Cette route est accessible sans authentification et autorise un dispatch contrôlé par l'attaquant vers des modèles et fonctions internes, dont une fonction d'aide à l'installation de plugins. Cette fonction télécharge et décompresse des fichiers ZIP fournis par l'attaquant directement dans le répertoire wp-content/plugins/. Aucune vérification de l'origine, de la signature ou du contenu du fichier ZIP n'est effectuée avant l'opération.
Elle permet à un attaquant distant non authentifié d'installer un plugin arbitraire sur le serveur WordPress et d'exécuter du code arbitraire à distance.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
• Exécution de code arbitraire (à distance)
• Contournement de la politique de sécurité
Exploitation
CWE-862 : Missing Authorization
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
GeekyBot versions 1.2.2 et antérieures