
| Nom du plugin | Chant |
|---|---|
| Type de vulnérabilité | Contrôle d'accès |
| Numéro CVE | CVE-2026-6441 |
| Urgence | Faible |
| Date de publication du CVE | 2026-04-17 |
| URL source | CVE-2026-6441 |
Contrôle d'accès défaillant dans le plugin WordPress Canto (CVE-2026-6441) — Ce que les propriétaires de sites doivent faire maintenant
Auteur: Équipe de sécurité WP-Firewall
Date: 2026-04-18
Résumé: Une vulnérabilité de contrôle d'accès défaillant (CVE-2026-6441) affectant le plugin WordPress Canto (versions ≤ 3.1.1) permet aux utilisateurs authentifiés avec des privilèges de niveau Abonné de modifier des paramètres de plugin arbitraires. Cet article explique le risque, comment les attaquants peuvent en abuser, les étapes d'atténuation immédiates, les corrections à long terme pour les développeurs, les conseils de détection et de réponse aux incidents, et comment WP-Firewall peut protéger votre site — y compris une option de protection sans coût que vous pouvez activer immédiatement.
Table des matières
- Que s'est-il passé (niveau général)
- Pourquoi cela importe aux propriétaires de sites WordPress
- Aperçu technique de la vulnérabilité (non-exploitative)
- Scénarios d'attaque réalistes et impact
- Actions immédiates pour les propriétaires de sites (étape par étape)
- Comment détecter si vous avez été ciblé ou compromis
- Renforcement et corrections de développement (pour les auteurs de plugins et les intégrateurs)
- Règles WAF recommandées et conseils de patching virtuel
- Liste de contrôle de réponse aux incidents
- Comment WP-Firewall protège votre site (et une option pour commencer gratuitement)
- Notes finales et ressources
Que s'est-il passé (niveau général)
Une vulnérabilité de contrôle d'accès défaillant a été divulguée pour le plugin WordPress Canto affectant les versions jusqu'à et y compris 3.1.1. En raison de l'absence de vérifications d'autorisation dans une ou plusieurs fonctions côté serveur, un utilisateur authentifié avec seulement des privilèges d'Abonné peut soumettre des demandes qui modifient les paramètres du plugin. Bien que les abonnés soient considérés comme des comptes à faible privilège dans WordPress, de nombreux sites permettent l'enregistrement d'utilisateurs ou interagissent avec des flux d'authentification tiers — ce qui rend ce type de faille intéressant pour les attaquants. Le problème est attribué à CVE-2026-6441 et classé comme de faible gravité dans le système CVSS ; cependant, “faible” ne signifie pas “ignorer”. Les problèmes de contrôle d'accès sont souvent exploités comme des tremplins dans des chaînes de compromission plus importantes.
Pourquoi cela importe aux propriétaires de sites WordPress
Les sites WordPress ont couramment des utilisateurs avec un accès de niveau Abonné (commentateurs, clients connectés, membres enregistrés). Les propriétaires de sites sous-estiment souvent ce que ces comptes peuvent faire si un plugin fait accidentellement confiance aux demandes entrantes. Même lorsqu'une vulnérabilité donne à un utilisateur à faible privilège la capacité de changer la configuration d'un plugin, les conséquences peuvent être significatives :
- Les paramètres du plugin pourraient activer des fonctionnalités qu'un attaquant abuse pour injecter du contenu, rediriger des visiteurs ou exposer des données.
- Des modifications malveillantes peuvent créer des portes dérobées persistantes ou affaiblir d'autres protections de sécurité.
- Les attaquants peuvent utiliser des comptes à faible privilège comme points de pivot pour une élévation de privilèges ou une ingénierie sociale.
- Dans des contextes multi-sites ou d'adhésion, les modifications de paramètres peuvent affecter de nombreux utilisateurs.
Parce que cette vulnérabilité permet la modification arbitraire des paramètres, elle doit être traitée rapidement même si l'impact immédiat semble limité.
Aperçu technique (non-exploitant)
Je ne publierai pas de code d'exploitation ni d'instructions étape par étape pour reproduire l'attaque. Au lieu de cela, voici une description technique sûre afin que les administrateurs et les développeurs puissent comprendre la cause profonde et l'atténuation :
- Cause première: Absence de vérifications d'autorisation dans un gestionnaire côté serveur qui accepte les demandes de mise à jour des options du plugin. Le gestionnaire n'a pas vérifié que l'utilisateur actuel dispose d'une capacité suffisante (par exemple,
gérer_options) ou n'a pas validé un nonce/token ou un rappel de permission adéquat lorsqu'il est exposé via REST/AJAX. - Composant affecté : Un point de terminaison de mise à jour des paramètres (HTTP POST) qui modifie les options du plugin.
- Exploitable par : Tout utilisateur authentifié assigné au rôle d'Abonné (ou tout rôle pouvant se connecter mais n'ayant pas de capacités administratives).
- Résultat : Les attaquants peuvent changer des paramètres contrôlés par le plugin arbitraires (qui peuvent inclure des clés API, des URL, des bascules de fonctionnalités ou d'autres options contrôlées par le plugin).
Parce que ce défaut est fondamentalement une omission de vérification d'autorisation, les corrections appropriées tournent autour de l'application des vérifications de capacité, de la validation des nonces et des rappels de permission appropriés sur tous les points de terminaison qui modifient la configuration persistante.
Scénarios d'attaque réalistes et impacts potentiels
Même si un compte d'abonné a peu de privilèges, voici des façons réalistes dont un attaquant pourrait exploiter cette vulnérabilité et ce qu'il pourrait accomplir :
-
Armer les paramètres pour permettre l'inclusion de contenu à distance
- Le plugin peut avoir des paramètres qui définissent des points de terminaison externes ou des sources de contenu. Les changer pour des serveurs contrôlés par l'attaquant permet l'injection de contenu, le détournement d'annonceurs ou l'hébergement de logiciels malveillants à l'insu de l'utilisateur.
-
Activer les modes de débogage ou verbeux
- Certains paramètres de plugin activent la journalisation de débogage ou le rapport d'erreurs détaillé. Activez-les pour divulguer des données d'environnement ou de configuration utiles pour une attaque ultérieure.
-
Remplacer les clés API ou les intégrations
- Si le plugin stocke des clés d'intégration (pour des bibliothèques d'actifs, des sources multimédias ou des services tiers), un attaquant pourrait les échanger contre ses propres clés et intercepter des médias ou des accès.
-
Persister une configuration de porte dérobée
- Modifiez les paramètres pour créer un point de terminaison caché persistant, ou activez une fonctionnalité qui permet les téléchargements de fichiers sans vérifications appropriées.
-
Escalade d'ingénierie sociale
- Modifiez le texte de l'interface utilisateur, redirigez les flux ou les points de terminaison de notification pour mener des campagnes de phishing contre les utilisateurs ou les administrateurs du site.
Aucun des éléments ci-dessus n'exige que l'attaquant crée un nouveau compte administrateur — il abuse de la logique du plugin pour atteindre ses objectifs.
Actions immédiates pour les propriétaires de sites (étape par étape)
Si vous utilisez WordPress et avez installé le plugin Canto (vérifiez votre liste de plugins), suivez ces étapes immédiatement :
-
Vérifiez la version de votre plugin
- Si votre plugin est en version 3.1.1 ou antérieure, considérez le site comme potentiellement vulnérable.
-
Si possible, mettez à jour le plugin
- La meilleure solution est de mettre à jour vers une version corrigée. Si un correctif du fournisseur n'est pas encore disponible, passez aux étapes d'atténuation ci-dessous.
-
Supprimez ou désactivez le plugin (si vous ne pouvez pas appliquer de correctif)
- Si le plugin n'est pas essentiel et qu'aucun correctif du fournisseur n'est disponible, désactivez-le et supprimez-le jusqu'à ce qu'une version corrigée soit publiée.
-
Restreindre les nouvelles inscriptions et examiner les rôles des utilisateurs
- Désactiver temporairement l'inscription ouverte (Paramètres → Général → Adhésion).
- Examiner les comptes avec des privilèges de niveau Abonné et supprimer tout compte suspect ou inutilisé.
-
Auditer les changements de configuration récents
- Contrôler
options_wppour les entrées relatives au plugin (utiliser phpMyAdmin, WP‑CLI ou l'interface admin). - Vérifier les journaux pour les requêtes POST vers les points de terminaison du plugin provenant de comptes abonnés.
- Contrôler
-
Renforcer l'authentification des utilisateurs
- Forcer les réinitialisations de mot de passe pour les utilisateurs lorsque cela est approprié.
- Activer l'authentification à deux facteurs (2FA) pour les comptes administrateurs.
-
Exécutez une analyse de malware.
- Utiliser un scanner réputé pour rechercher des fichiers modifiés, des tâches planifiées suspectes et des webshells.
-
Sauvegardez votre site
- Faire une sauvegarde complète (fichiers + base de données) immédiatement — la stocker hors ligne. Si vous devez revenir en arrière plus tard, cela préserve l'état actuel pour une analyse judiciaire.
Comment détecter si vous avez été ciblé ou compromis
La détection est souvent simple si vous savez où chercher. Concentrez-vous sur ces signaux :
- Journaux d'audit
- Recherchez des requêtes POST provenant d'utilisateurs non administrateurs authentifiés ciblant les points de terminaison du plugin ou
admin-ajax.phpdes actions associées au plugin.
- Recherchez des requêtes POST provenant d'utilisateurs non administrateurs authentifiés ciblant les points de terminaison du plugin ou
- Changements d'options
- Comparer les options actuelles du plugin avec des valeurs connues comme bonnes. Les noms d'options sont souvent préfixés par le slug du plugin.
- Clés API ou points de terminaison inconnus dans les paramètres
- Toute nouvelle URL ou crédentiel API doit être considérée comme suspecte.
- Nouvelles tâches planifiées (cron jobs)
- Vérifiez
wp_cronentrées pour des rappels inconnus.
- Vérifiez
- Journaux du serveur web
- Recherchez des POST ou des requêtes inattendus par le même agent utilisateur ou IP qui ciblent les routes du plugin.
- Redirections inattendues ou changements de contenu
- Parcourez les pages clés et vérifiez les comportements inattendus ou les scripts injectés. Faites attention à ne pas visiter des redirections potentiellement malveillantes sur des systèmes de production sans protections.
Si vous trouvez une activité suspecte :
- Exportez les journaux et les lignes de base de données pertinentes pour enquête.
- Isolez le site (mode maintenance) pendant que vous enquêtez pour minimiser l'impact sur les utilisateurs.
- Envisagez de faire appel à un intervenant expérimenté en cas d'incident si vous trouvez des signes de compromission.
Renforcement et corrections de développement (pour les auteurs de plugins et les intégrateurs)
Cette vulnérabilité est un exemple classique de “ manque d'autorisation ”. Les développeurs devraient appliquer plusieurs contrôles défensifs en couches :
-
Principe du moindre privilège
- Seuls les utilisateurs ayant la capacité minimale requise devraient pouvoir modifier les paramètres persistants. Pour la configuration du site, utilisez
current_user_can('manage_options')ou une capacité précisément définie.
- Seuls les utilisateurs ayant la capacité minimale requise devraient pouvoir modifier les paramètres persistants. Pour la configuration du site, utilisez
-
Validation de nonce et de permission
- Pour les points de terminaison admin-ajax et REST :
- Pour AJAX : utilisez
check_ajax_referer('votre_nonce_action')et une vérification explicite de capacité. - Pour REST : incluez un
permission_callbackdansregister_rest_routequi vérifiecurrent_user_can()et des vérifications supplémentaires si nécessaire.
- Pour AJAX : utilisez
- Pour les points de terminaison admin-ajax et REST :
-
Validez les données entrantes
- Assurez-vous d'une désinfection et d'une validation robustes avant d'écrire dans la base de données. Utilisez
assainir_champ_texte,wp_kses_post,intval, ou une validation de schéma structurée.
- Assurez-vous d'une désinfection et d'une validation robustes avant d'écrire dans la base de données. Utilisez
-
Évitez de faire confiance aux références côté client
- Ne comptez jamais sur les données de rôle ou de capacité fournies par l'utilisateur. Évaluez toujours côté serveur en utilisant
current_user_can().
- Ne comptez jamais sur les données de rôle ou de capacité fournies par l'utilisateur. Évaluez toujours côté serveur en utilisant
-
Journaliser les actions administratives
- Enregistrez les modifications des options sensibles, y compris l'acteur, l'IP, l'horodatage et les valeurs avant/après. Fournissez un moyen pour les propriétaires de sites de consulter les pistes de vérification.
-
Tests unitaires de sécurité
- Ajoutez des tests qui simulent des utilisateurs à faible privilège tentant d'accéder à des gestionnaires protégés et affirmez qu'ils reçoivent des réponses 403/401.
-
Revues de sécurité et audits de code
- Incluez des vérifications d'autorisation dans les listes de contrôle de révision de code. L'analyse statique automatisée peut signaler les vérifications de capacité manquantes pour des modèles courants.
Règles WAF recommandées et conseils de patching virtuel
Si une version de plugin corrigée n'est pas immédiatement disponible ou si vous ne pouvez pas supprimer le plugin pour des raisons commerciales, le patching virtuel via votre pare-feu d'application Web (WAF) est une solution temporaire efficace. Voici des approches défensives que vous pouvez mettre en œuvre. Ce sont des exemples défensifs — ils ne divulguent pas comment exploiter la vulnérabilité.
Directives générales
- Bloquez les requêtes non authentifiées vers les points de terminaison du plugin qui mettent à jour les paramètres.
- Restreignez les requêtes POST modifiant les paramètres aux IP administratives ou aux utilisateurs avec des cookies admin authentifiés et des nonces valides.
- Surveillez et bloquez les requêtes répétées provenant de la même IP qui ciblent les points de terminaison de configuration du plugin.
Exemples de modèles défensifs (sûrs, non-exploitants)
- Bloquez les POST vers un chemin de configuration de plugin connu à moins que les requêtes n'incluent un nonce admin WordPress valide ou proviennent d'IP administratives.
- Règle (conceptuelle) :
Si la méthode de requête est POST et que l'URI correspond/wp-admin/admin-ajax.phpou/wp-json/.../cantoou/wp-admin/options.phproute associée au plugin et que la requête manque_wpnonceparamètre (ou l'en-tête attendu) → bloquer ou défier.
- Règle (conceptuelle) :
- Limitez le taux des actions provenant de sessions authentifiées par un abonné qui effectuent des mises à jour de paramètres.
- Refusez les requêtes POST qui tentent de mettre à jour des clés d'option correspondant au préfixe d'option du plugin à moins qu'elles n'incluent un cookie de capacité valide ou un nonce.
Exemple de règle ModSecurity (illustratif)
Règle ModSecurity conceptuelle # (illustrative uniquement)"
Explication : Cette règle tente de refuser les POST vers des points de terminaison souvent utilisés pour des mises à jour en arrière-plan lorsque la requête ne contient pas le champ nonce WordPress. Modifiez le correspondance URI pour correspondre aux routes réelles du plugin et testez en mode surveillance avant d'appliquer.
exemple nginx (conceptuel)
location ~* /wp-admin/admin-ajax.php {
Remarque : Cela suppose que vous avez un moyen fiable de valider les nonces au niveau du proxy ; en pratique, une validation complète nécessite une logique côté serveur. Utilisez les vérifications basées sur le proxy avec parcimonie et uniquement comme une atténuation temporaire.
Services de patching virtuel
Le patching virtuel (également connu sous le nom de règles d'urgence ou de correctif au niveau du WAF) peut bloquer les tentatives d'exploitation sans modifier le code du site. Si vous utilisez un WAF géré, demandez un patch virtuel pour bloquer les demandes qui tentent de mettre à jour les paramètres du plugin sans autorisation appropriée.
Règles WAF axées sur la détection
Plutôt que de refuser catégoriquement au départ, envisagez un mode de détection qui enregistre et alerte sur les POST suspects vers les points de terminaison du plugin à partir de sessions authentifiées par des abonnés. Cela aide à valider la règle et à observer les faux positifs.
Liste de contrôle de réponse aux incidents
Si vous déterminez que la vulnérabilité a été exploitée sur votre site, suivez ce flux de réponse aux incidents :
-
Contenir
- Mettez le site en mode maintenance ou bloquez le trafic public.
- Désactivez et supprimez le plugin vulnérable.
-
Préserver les preuves
- Exportez les journaux (serveur web, journaux de plugins, journaux d'accès).
- Prenez un instantané du système de fichiers et de la base de données (stockez hors ligne/en lecture seule).
-
Enquêter
- Identifiez quels paramètres ont été modifiés et quand.
- Recherchez de nouveaux comptes administrateurs, des fichiers modifiés, des tâches planifiées ou des tâches cron inconnues.
-
Nettoyer
- Revenez aux modifications de paramètres malveillants lorsque cela est possible.
- Supprimez les fichiers inconnus et les portes dérobées. Si vous ne pouvez pas en être certain, ramenez le site à une sauvegarde propre.
-
Restaurer
- Restaurez à partir de sauvegardes connues comme étant bonnes lorsque cela est possible.
- Réinstallez le plugin uniquement après que le fournisseur a publié un correctif ou que vous avez appliqué un correctif de code testé.
-
Récupérer
- Faites tourner tous les identifiants qui pourraient être affectés (clés API, mots de passe des utilisateurs administrateurs).
- Vérifiez les services tiers pour une activité suspecte si des clés ont été stockées dans les paramètres du plugin.
-
Suite à l'incident
- Effectuez une analyse des causes profondes et mettez en œuvre des contrôles plus stricts : restreignez l'enregistrement, mettez en œuvre des règles WAF et exigez une authentification à deux facteurs pour les comptes privilégiés.
- Informez les parties prenantes et les utilisateurs si la violation a affecté des données personnelles, conformément aux lois applicables.
Comment WP-Firewall protège votre site
En tant que développeurs et opérateurs de WP-Firewall, nous observons ces schémas régulièrement. Notre produit et nos services sont conçus pour réduire la fenêtre d'exposition aux vulnérabilités comme celle-ci :
-
Pare-feu d'application Web géré (WAF)
- Notre WAF peut appliquer des règles de patch virtuel pour bloquer les tentatives suspectes de modification des paramètres des plugins à la périphérie, de sorte que même si une vulnérabilité existe dans le code du plugin, les requêtes malveillantes n'atteignent jamais votre site.
-
Analyseur de logiciels malveillants
- Des analyses régulières identifient les fichiers modifiés, le code PHP suspect et les indicateurs de compromission afin que vous puissiez rapidement détecter des signes d'exploitation.
-
Atténuation des 10 principaux risques OWASP
- Les protections de WP-Firewall incluent des atténuations pour les classes courantes de vulnérabilités (y compris les schémas de contrôle d'accès défaillants), réduisant ainsi la probabilité d'abus.
-
Options de remédiation par niveaux
- Notre plan gratuit offre une protection essentielle (pare-feu géré, WAF, analyse de logiciels malveillants, atténuations OWASP).
- Pour les équipes qui ont besoin de plus d'automatisation, nos plans payants ajoutent la suppression automatique de logiciels malveillants, le blocage/liste blanche des IP, le patching virtuel, des rapports de sécurité mensuels et des services de sécurité gérés optionnels.
Protégez-vous en quelques minutes avec le plan gratuit WP‑Firewall
Si vous souhaitez une protection rapide et fiable pendant que vous évaluez ou attendez un correctif de fournisseur, notre plan de base (gratuit) fournit des défenses essentielles que vous pouvez activer immédiatement :
- Pare-feu géré et WAF de niveau entreprise
- Bande passante illimitée (entonnoir de trafic protégé)
- Scanner de malware pour détecter des changements suspects
- Règles d'atténuation pour les risques OWASP Top 10
Inscrivez-vous et activez les protections gratuites ici : https://my.wp-firewall.com/buy/wp-firewall-free-plan/
Si vous préférez une remédiation automatisée et plus de contrôle (suppression automatique de logiciels malveillants, listes de blocage IP, patching virtuel, rapports mensuels et options de sécurité gérées), nos plans Standard et Pro peuvent être activés à tout moment.
Guide pour les développeurs : liste de contrôle de sécurité par conception
Pour les auteurs de plugins et les équipes de développement, adoptez ces éléments de liste de contrôle pour éviter des vulnérabilités similaires à l'avenir :
- Exigez des capacités appropriées pour tous les points de terminaison de paramètres (ne supposez pas que le contexte d'utilisateur connecté est suffisant).
- Validez les nonces et les rappels de permission pour les routes REST et les gestionnaires AJAX.
- Appliquez une validation côté serveur et un encodage de sortie pour toutes les entrées et les données stockées.
- Ajoutez des tests automatisés qui simulent des utilisateurs à faible privilège tentant d'appeler des actions destinées à l'administrateur.
- Incluez une journalisation pour les mises à jour de paramètres et fournissez une interface d'audit.
- Considérez les configurations par défaut avec le principe du moindre privilège et exigez l'activation explicite de toute fonctionnalité qui augmente le risque (par exemple, inclusion de code à distance, options de téléchargement de fichiers).
Pourquoi les contrôles procéduraux sont importants
La sécurité n'est pas seulement du code — les contrôles de déploiement et opérationnels (WAF, listes de contrôle d'accès, politiques de révision des comptes et surveillance) réduisent l'exposition et la probabilité qu'une omission dans le code entraîne une compromission.
Foire aux questions
- Q : Mon site utilise la version du plugin Canto ≤ 3.1.1 — est-il définitivement compromis ?
- R : Pas nécessairement. La vulnérabilité permet un chemin d'abus par des comptes d'abonnés authentifiés, mais l'exploitation nécessite qu'un attaquant authentifié prenne des mesures spécifiques. Vérifiez vos journaux, recherchez des options modifiées et suivez les étapes de détection ci-dessus.
- Q : Je ne peux pas supprimer le plugin en ce moment — quelle est la mitigation la plus rapide ?
- R : Activez un WAF géré ou un patch virtuel qui bloque les mises à jour POST vers les points de terminaison des paramètres du plugin, sauf si elles incluent des nonces valides ou proviennent d'adresses IP administratives de confiance. Restreignez les enregistrements et examinez immédiatement les comptes d'abonnés.
- Q : Cette vulnérabilité est-elle directement exploitable par des attaquants non authentifiés ?
- R : Non — la vulnérabilité nécessite un utilisateur authentifié (abonné ou similaire). Cependant, les sites avec enregistrement ouvert ou ceux où les attaquants peuvent créer des comptes sont à risque.
- Q : Qu'en est-il des sauvegardes ? Dois-je restaurer à partir d'une sauvegarde ?
- R : Si vous trouvez des preuves d'exploitation (nouveaux paramètres, fichiers inconnus ou portes dérobées), restaurez à partir d'une sauvegarde connue comme bonne prise avant les changements et effectuez une révision complète avant de reconnecter les services.
Réflexions finales
Les vulnérabilités de contrôle d'accès brisé sont des erreurs trompeusement simples avec des conséquences démesurées. Dans WordPress, c'est un schéma courant : le développeur expose un point de terminaison ou une option sans vérifier que l'acteur a le droit d'apporter ce changement. La bonne nouvelle est que les mesures de défense sont simples à appliquer : validez les capacités, appliquez des nonces, assainissez les entrées et ajoutez des protections WAF.
Si vous gérez ou administrez des sites WordPress, considérez cela comme un rappel pour :
- Garder les plugins à jour.
- Auditer les rôles et les enregistrements des utilisateurs.
- Utiliser une approche de défense en couches (durcissement du code + WAF + surveillance).
- Maintenez des sauvegardes testées et un plan de réponse aux incidents.
Si vous souhaitez une couche de protection rapide pendant que vous appliquez des mises à jour de code ou attendez le patch du fournisseur, envisagez d'activer le plan WP‑Firewall Basic (Gratuit) maintenant : https://my.wp-firewall.com/buy/wp-firewall-free-plan/ — il fournit un WAF géré, une analyse de logiciels malveillants et des atténuations essentielles OWASP qui réduisent considérablement la surface d'attaque pour des problèmes comme CVE‑2026‑6441.
Pour les équipes qui ont besoin d'une remédiation continue, d'une réponse automatisée ou d'un support géré, nos plans payants offrent une automatisation et des services supplémentaires — y compris le patching virtuel et la suppression gérée — pour réduire votre charge opérationnelle.
Besoin d'aide maintenant ?
- Si vous souhaitez de l'aide pour auditer votre site, renforcer les rôles des utilisateurs ou appliquer des règles WAF, notre équipe de sécurité peut vous aider. Contactez-nous via nos canaux de support et nous donnerons la priorité au triage des incidents actifs.
Annexe : Extraits de commandes rapides (sûrs, administratifs)
-
Liste des versions de plugins via WP-CLI :
Liste des plugins WordPress --format=table -
Options de vidage liées à un plugin pour inspecter les paramètres :
wp db query "SELECT option_name, option_value FROM wp_options WHERE option_name LIKE '%canto%';" -
Rechercher dans les journaux d'accès les requêtes POST vers des points de terminaison liés au plugin (exemple) :
grep -i "POST .*admin-ajax.php" /var/log/nginx/access.log | grep canto
Note: Ajustez les requêtes à votre environnement. Exécutez toujours des requêtes en lecture seule lors de l'enquête.
Nous mettrons à jour ce post si le fournisseur du plugin publie un correctif officiel ou si de nouveaux détails techniques deviennent disponibles. En attendant, suivez les étapes d'atténuation ci-dessus et envisagez d'activer les protections WP‑Firewall pour réduire rapidement le risque.
Soyez prudent,
Équipe de sécurité WP-Firewall
