https://cyberveille.ch/tags/cve-2026-4888/ Recent content in CVE-2026-4888 on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sat, 06 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-06-roundup-mai-2026-100-vulnerabilites-critiques-dans-l-ecosysteme-wordpress/ Sat, 06 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-06-roundup-mai-2026-100-vulnerabilites-critiques-dans-l-ecosysteme-wordpress/ <h2 id="-contexte">📰 Contexte</h2> <p>Source : blog.sucuri.net — Publication du 1er juin 2026. Il s&rsquo;agit du récapitulatif mensuel de Sucuri listant les vulnérabilités de sécurité découvertes et patchées dans l&rsquo;écosystème <strong>WordPress</strong> (plugins et thèmes) au cours du mois de mai 2026.</p> <h2 id="-vulnérabilités-critiques">🔴 Vulnérabilités critiques</h2> <p>Trois vulnérabilités sont classées <strong>Critical</strong> :</p> <ul> <li><strong>Advanced Custom Fields: Extended</strong> (≤ 0.9.2.5) — <strong>Privilege Escalation</strong> sans authentification — <strong>CVE-2026-8809</strong> — patché en 0.9.2.6</li> <li><strong>Avada (Fusion) Builder</strong> (≤ 3.15.2) — <strong>Remote Code Execution</strong> sans authentification — <strong>CVE-2026-6279</strong> — patché en 3.15.3</li> <li><strong>Gravity Forms</strong> (≤ 2.10.0.1) — <strong>Arbitrary File Deletion</strong> sans authentification — <strong>CVE-2026-48866</strong> — patché en 2.10.1</li> </ul> <h2 id="-vulnérabilités-high-sans-authentification-sélection">🟠 Vulnérabilités High sans authentification (sélection)</h2> <ul> <li><strong>LiteSpeed Cache</strong> (≤ 7.7) — <strong>XSS</strong> — CVE-2026-3375 — 7M+ installations</li> <li><strong>WooCommerce PayPal Payments</strong> (≤ 4.0.1) — <strong>Broken Access Control</strong> — CVE-2026-9284</li> <li><strong>Forminator Forms</strong> (≤ 1.52.1) — <strong>Arbitrary File Read</strong> — CVE-2026-5192</li> <li><strong>ManageWP Worker</strong> (≤ 4.9.31) — <strong>XSS</strong> — CVE-2026-3718</li> <li><strong>Database Backup for WordPress</strong> (≤ 2.5.2) — <strong>Arbitrary File Read + Broken Access Control (x2)</strong> — CVE-2026-4030, CVE-2026-4029, CVE-2026-4031</li> <li><strong>Kirki</strong> (≤ 6.0.6) — <strong>Arbitrary File Read</strong> — CVE-2026-8073</li> <li><strong>Post SMTP</strong> (≤ 3.6.2) — <strong>XSS</strong> — CVE-2026-48838</li> <li><strong>Appointment Booking Calendar</strong> (≤ 1.6.11.8) — <strong>SQL Injection</strong> — CVE-2026-7797</li> <li><strong>Email Marketing for WooCommerce by Omnisend</strong> (≤ 1.18.0) — <strong>Broken Authentication</strong> — CVE-2026-42668</li> <li><strong>PixelYourSite Pro</strong> (≤ 12.5.0.1) — <strong>SSRF</strong> — CVE-2026-7049</li> <li><strong>Avada (Fusion) Builder</strong> (≤ 3.15.1) — <strong>SQL Injection</strong> — CVE-2026-4798</li> <li><strong>Slider Revolution</strong> — <strong>Arbitrary File Upload</strong> — CVE-2026-6692</li> <li><strong>Betheme</strong> (≤ 28.4) — <strong>Remote Code Execution</strong> — CVE-2026-6261</li> <li><strong>Roneous</strong> (≤ 2.1.5) — <strong>Local File Inclusion</strong> sans authentification — CVE-2025-69177 — <strong>pas de patch disponible</strong></li> </ul> <h2 id="-plugins-sans-patch-disponible-au-moment-de-la-publication">🟡 Plugins sans patch disponible au moment de la publication</h2> <ul> <li><strong>Meta for WooCommerce</strong> (≤ 3.7.0) — Open Redirect — CVE-2026-49059</li> <li><strong>Adminimize</strong> (≤ 1.11.11) — Broken Access Control — CVE-2026-49045</li> <li><strong>Duplicate Page and Post</strong> (≤ 2.9.5) — SQL Injection — CVE-2026-49046</li> <li><strong>The Post Grid</strong> (≤ 7.9.2) — Broken Access Control — CVE-2026-49054</li> <li><strong>Roneous</strong> (≤ 2.1.5) — Local File Inclusion — CVE-2025-69177</li> </ul> <h2 id="-périmètre-global">📊 Périmètre global</h2> <p>L&rsquo;article couvre <strong>plus de 100 entrées CVE</strong> réparties sur des dizaines de plugins et thèmes WordPress, avec des bases d&rsquo;installation allant de 90 000 à plus de <strong>10 millions</strong> (Yoast SEO). Les types de vulnérabilités incluent : XSS, Broken Access Control, SQL Injection, RCE, Privilege Escalation, Arbitrary File Read/Upload/Deletion, IDOR, SSRF, Path Traversal, Local File Inclusion, Information Disclosure, Open Redirect, Broken Authentication, Denial of Service, Content Injection.</p>