Origine : bjCSIRT

Numéro : 2024/ALERTE/023

Date de l’alerte : 19/04/2024

APERÇU :

Le plugin WP Poll Maker de WordPress est affecté par une vulnérabilité de type file upload permettant le téléversement de fichiers arbitraires.

DESCRIPTION 

WP Poll Maker est un plugin WordPress permettant aux utilisateurs de créer facilement des sondages et des formulaires d’enquêtes personnalisés sur leurs sites Web.  

Ce plugin est affecté par une vulnérabilité libellée CVE-2024-32514. Son exploitation permettrait à un attaquant de téléverser, sans restriction, des fichiers malveillants sur le système cible. 

Cette vulnérabilité est classée critique avec un score de sévérité de 9.9. 

IMPACT :

• Compromission du système ; 
• Accès à des données sensibles. 

SYSTÈMES AFFECTÉS :

Toutes les versions du plugin WP Poll Maker antérieures à la version 3.4. 

MESURES À PRENDRE :

Durcir les permissions sur les répertoires web contenant les fichiers téléversés afin de restreindre toute exécution malveillante et appliquer le correctif de l’éditeur dès qu’il sera disponible. 

RÉFÉRENCES :

• https://patchstack.com/database/vulnerability/epoll-wp-voting/wordpress-wp-poll-maker-plugin-3-4-authenticated-arbitrary-file-upload-vulnerability?_s_id=cve
• https://nvd.nist.gov/vuln/detail/CVE-2024-32514