Origine : bjCSIRT

Numéro : 2026/ALERTE/059

APERÇU :

De multiples vulnérabilités ont été découvertes dans des extensions WordPress, permettant à un acteur malveillant non authentifié d’élever ses privilèges et de prendre le contrôle total de comptes utilisateurs sur les systèmes affectés.

DESCRIPTION

Invoice Generator est une extension WordPress permettant la création et la gestion de factures. SignUp & SignIn, quant à elle, est une extension WordPress permettant de simplifier l’inscription des utilisateurs, leur authentification ainsi que la gestion de leurs profils. 

Ces solutions sont affectées par plusieurs vulnérabilités libellées comme suit : 

CVE-2026-12416 : Cette vulnérabilité découle d’un défaut de vérification d’autorisation et de validation lors de l’appel à la fonction « pravel_invoice_change_password() » dans l’extension Invoice Generator. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de réinitialiser et de modifier le mot de passe de n’importe quel utilisateur, y compris les administrateurs, conduisant à une prise de contrôle totale du compte.  

Cette vulnérabilité est classée critique avec un score de sévérité de 9.8 selon le CVSS v3.1. 

CVE-2026-12417 : Cette vulnérabilité est due à une validation faible et insuffisante lors du processus de réinitialisation de mot de passe (via le paramètre « reset_activation_code ») au sein de l’extension SignUp & SignIn. Elle permettrait à un acteur malveillant non authentifié d’élever ses privilèges et de prendre le contrôle de comptes cibles.  

Cette vulnérabilité est classée critique avec un score de sévérité de 9.8 selon le CVSS v3.1. 

IMPACT

• Prise de contrôle totale de comptes utilisateurs et administrateurs ;
• Élévation de privilèges sur le système ;
• Atteinte critique à la confidentialité des données utilisateurs ;
• Atteinte à l’intégrité du système. 

SYSTEMES AFFECTÉS 

• Versions de l’extension Invoice Generator antérieures ou égales à 1.0.0 ;
• Versions de l’extension SignUp & SignIn antérieures ou égales à 1.0.0. 

 MESURES À PRENDRE :

• Mettre à jour Invoice Generator ainsi que SignUp & SignIn vers leurs versions stables en fonction de la branche utilisée ;
• Désactiver temporairement ces extensions si aucune mise à jour ne peut être appliquée immédiatement ; 
• Auditer les journaux d’accès web, ainsi que les comptes utilisateurs et administrateurs récemment modifiés ou créés pour détecter d’éventuelles compromissions. 

RÉFÉRENCES :

• https://wpscan.com/vulnerability/6a67cf38-9afd-4f2d-9fd8-06d0377b7096/
• https://nvd.nist.gov/vuln/detail/CVE-2026-12416 
• https://nvd.nist.gov/vuln/detail/CVE-2026-12417 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-12416
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-12417