Vulnérabilité de falsification de requêtes intersites (CRSF) dans le plugin « Auto Upload Images 3.3.1 » sur WordPress

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2022/ALERTE/050

Date de l’alerte: 23/12/2022

APERÇU :

Le plugin Auto Upload Images 3.3.1 contient une vulnérabilité de type CSRF(Cross-Site Request Forgery), qui affecte une fonctionnalité inconnue du fichier « src/setting-page.php » dans wordpress.

DESCRIPTION :

Le plugin « Auto Upload Images 3.3.1 » de wordpress est un module d’extension logiciel permettant le téléchargement automatique d’images.

Le plugin présente une vulnérabilité de type CRSF (Cross-Site Request Forgery) identifiée sous le numéro CVE-2022-4633, qui pourrait permettre à une personne malveillante de faire parvenir à un utilisateur authentifié une requête HTTP falsifiée qui déclencherait une action interne au site comme par exemple la modification des paramètres de la page d’administration à partir du fichier « src/setting-page.php ». Cette vulnérabilité est due à un traitement insuffisant des données fournies par les utilisateurs.

La vulnérabilité est de sévérité Medium et le score CVSSv3 est de 4.3.

IMPACT :

  • Atteinte à l’intégrité des données ;
  • Falsification de données sensibles.

SYSTEMES AFFECTÉS : 

Toutes les versions de Samba depuis 4.0.0

MESURES À PRENDRE :

Tous les sites wordpress fonctionnant avec le plugin «Auto Upload Images 3.3.1»

REFERENCES :

Partagez sur vos réseaux.