Revenir aux alertes

Bulletin d'alerte

Vulnérabilité dans le plugin Account Switcher pour WordPress

mai 2026

Résumé

Le 20 mai 2026, une faille de sécurité a été identifiée dans le plugin Account Switcher pour WordPress, un plugin permettant de basculer rapidement d’un compte utilisateur à un autre, sans avoir à se déconnecter ni à retaper le mot de passe.

Cette faille permet à un attaquant déjà connecté, même avec un simple compte “abonné”, de prendre la place d’un autre utilisateur, y compris un administrateur.

Référencée sous CVE-2026-6456, cette vulnérabilité est de type élévation de privilèges.

Solutions

Il est recommandé d’appliquer les correctifs indiqués par le fournisseur.

La faille est activement exploitée : oui

 

Details techniques

Score CVSS : 8.8/10 (HIGH)

EPSS : 0.04%

 

Systèmes affectés

Account Switcher version 0 jusqu’à 1.0.2

 

Documentation

NIST NVD : https://nvd.nist.gov/vuln/detail/CVE-2026-6456
CVE Details : https://www.cvedetails.com/cve/CVE-2026-6456/
Référence CVE : https://www.cve.org/CVERecord?id=CVE-2026-6456
CWE : https://www.cvedetails.com/cwe-details/CWE-287/

Signaler un incident de sécurité en remplissant ce formulaire. Notre équipe vous recontactera dans les plus brefs délais.

« * » indique les champs nécessaires

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
RGPD*