Origine : bjCSIRT
Numéro : 2024/ALERTE/013
Date de l’alerte : 29/02/2024
APERÇU :
Ultimate Member, un plugin de WordPress, est affecté par une vulnérabilité de type SQL Injection permettant à un acteur malveillant non authentifié d’injecter des commandes SQL afin d’accéder aux informations sensibles de l’application.
DESCRIPTION :
Ultimate Member est un plugin WordPress qui permet de créer des profils d’utilisateurs et de gérer des communautés en ligne. Il offre des fonctionnalités pour la gestion des membres, la création de profils personnalisés, la prise en charge des inscriptions et des connexions.
Ce plugin présente une vulnérabilité libellée CVE-2024-1071. Cette faille permettrait un acteur malveillant d’injecter du code SQL et d’interagir avec la base de données afin de recueillir des informations confidentielles. Elle est due à une défaillance dans le processus de vérification des entrées utilisateurs.
Cette vulnérabilité est classée critique avec un score CVSS3 de 9.8.
IMPACT :
- Atteinte à la confidentialité des données ;
- Atteinte à l’intégrité des données.
SYSTÈMES AFFECTÉS :
Toutes les versions du plugin Ultimate Member comprises entre 2.1.3 et 2.8.
MESURES À PRENDRE :
Mettre à jour le plugin Ultimate Member vers la version 2.8.3 ou ultérieure.
RÉFÉRENCES :
- https://securityonline.info/cve-2024-1071-wordpress-ultimate-member-plugin-under-active-attack/
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ultimate-member/ultimate-member-user-profile-registration-login-member-directory-content-restriction-membership-plugin-213-282-unauthenticated-sql-injection
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-1071/
