Vulnérabilité de Cross-Site Scripting (XSS) dans le plugin WordPress AgentEasy Properties

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2022/ALERTE/041

Date de l’alerte: 03/11/2022

APERÇU :

Une vulnérabilité a été trouvée dans le plugin « AgentEasy Properties » de WordPress dont la version est inférieure ou égale à 1.0.4. Il s’agit d’un zero-day permettant une injection de code arbitraire.

DESCRIPTION :

La vulnérabilité libellée CVE-2022-44576 de sévérité Medium dont le score CVSSv3 est égale à 3.1 est une faille de type XSS (Cross Site Scripting).

Cette vulnérabilité survient suite au mécanisme défaillant implémenté dans le plugin wordpress « AgentEasy » concernant le traitement des entrées fournies par l’utilisateur. L’application vulnérable contrôle de manière incorrecte les entrées des utilisateurs avant de les placer dans la sortie utilisée comme page web pour d’autres utilisateurs.

L’exploitation de cette faille pourrait permettre à un attaquant distant d’injecter du code arbitraire visant à subtiliser des informations d’identifications.

IMPACT :

  • Exécution de code arbitraire;
  • Atteinte à l’intégrité du système ;

SYSTEMES AFFECTÉS : 

Versions WordPress AM-HILI inférieure ou égale à 1.0.4.

MESURES À PRENDRE :

Il est fortement recommandé de désactiver ou de supprimer ce plugin en attendant la version corrigée.

REFERENCES :

Partagez sur vos réseaux.