Origine: bjCSIRT
Numéro: 2022/ALERTE/014
Date de l’alerte: 18/02/2022
APERÇU :
La vulnérabilité libellée CVE-2022-0653 est une vulnérabilité de type Reflected XSS (cross-site scripting réfléchi) présente sur des plateformes web de WordPress. L’exploitation de ces failles pourrait permettre à un attaquant distant d’injecter du code JavaScript arbitraire, d’accéder à des données sensibles et d’éventuellement prendre le contrôle total sur la plateforme.
DESCRIPTION :
La vulnérabilité libellée CVE-2022-0653 est une vulnérabilité Reflected XSS présente dans le plugin Profile Builder de WordPress. L’exploitation de cette vulnérabilité permet à un attaquant distant non authentifié d’injecter du code JavaScript malveillant directement dans la page.
Par le biais d’une technique d’hameçonnage, l’attaquant peut inciter un administrateur à effectuer une action qu’il aurait préalablement liée à un code JavaScript malveillant. Cette action peut partir du partage de cookies (à l’insu des utilisateurs) et aboutir à un contrôle du système avec la création de nouveaux utilisateurs administrateurs pour la persistance.
L’exploitation de cette vulnérabilité pourrait donc permettre la compromission le système cible ; le score de sévérité CVSSv3 de la vulnérabilité est estimé à 6.1.
IMPACT :
- Exécution de code arbitraire ;
- Atteinte à l’intégrité du système ;
SYSTEMES AFFECTÉS :
Toutes les versions du plugin Profile Builder inférieures ou égales à 3.6.1 .
MESURES À PRENDRE :
Il est fortement recommandé d’installer les mises à jour de sécurité de janvier 2022.
REFERENCES :
