Vulnérabilité dans le plugin Profile Builder de WordPress

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2022/ALERTE/014

Date de l’alerte: 18/02/2022

APERÇU :

La vulnérabilité libellée CVE-2022-0653 est une vulnérabilité de type Reflected XSS (cross-site scripting réfléchi) présente sur des plateformes web de WordPress. L’exploitation de ces failles pourrait permettre à un attaquant distant d’injecter du code JavaScript arbitraire, d’accéder à des données sensibles et d’éventuellement prendre le contrôle total sur la plateforme.

DESCRIPTION :

La vulnérabilité libellée CVE-2022-0653 est une vulnérabilité Reflected XSS présente dans le plugin Profile Builder de WordPress. L’exploitation de cette vulnérabilité permet à un attaquant distant non authentifié d’injecter du code JavaScript malveillant directement dans la page.

Par le biais d’une technique d’hameçonnage, l’attaquant peut inciter un administrateur à effectuer une action qu’il aurait préalablement liée à un code JavaScript malveillant. Cette action peut partir du partage de cookies (à l’insu des utilisateurs) et aboutir à un contrôle du système avec la création de nouveaux utilisateurs administrateurs pour la persistance.

L’exploitation de cette vulnérabilité pourrait donc permettre la compromission le système cible ; le score de sévérité CVSSv3 de la vulnérabilité est estimé à 6.1.

IMPACT :

  • Exécution de code arbitraire ;
  • Atteinte à l’intégrité du système ;

SYSTEMES AFFECTÉS :

Toutes les versions du plugin Profile Builder inférieures ou égales à 3.6.1 .

MESURES À PRENDRE :

Il est fortement recommandé d’installer les mises à jour de sécurité de janvier 2022.

REFERENCES :

Partagez sur vos réseaux.