Origine : bjCSIRT

Numéro : 2024/ALERTE/027

Date de l’alerte : 08/05/2024

APERÇU :

Le plugin InstaWP Connect de WordPress est affecté par une vulnérabilité de type file upload permettant le téléversement de fichiers arbitraires. 

DESCRIPTION 

InstaWP Connect est un plugin WordPress qui permet de créer des environnements de staging complets pour tester, développer, éditer ou cloner votre site à partir du tableau de bord. 

Ce plugin est affecté par une vulnérabilité libellée CVE-2024-2667. Elle est due à une validation insuffisante des fichiers uploadés, par l’API REST. Son exploitation permettrait à un acteur malveillant de téléverser, sans restriction, des fichiers sur le système cible.   

Cette vulnérabilité est classée critique avec un score de sévérité de 9.8.

IMPACT :

• Compromission du système ; 
• Exécution de scripts arbitraires ; 
• Accès à des données sensibles. 

SYSTÈMES AFFECTÉS :

Toutes les diverses versions du plugin InstaWP Connect antérieures à la version 0.1.0.22 incluse. 

MESURES À PRENDRE :

Mettre à jour le plugin InstaWP Connect vers la dernière version disponible.

RÉFÉRENCES :

• https://nvd.nist.gov/vuln/detail/CVE-2024-2667 
• https://www.cve.org/CVERecord?id=CVE-2024-2667 
• https://cvefeed.io/vuln/detail/CVE-2024-2667