Origine : bjCSIRT
Numéro : 2024/ALERTE/023
Date de l’alerte : 19/04/2024
APERÇU :
Le plugin WP Poll Maker de WordPress est affecté par une vulnérabilité de type file upload permettant le téléversement de fichiers arbitraires.
DESCRIPTION
WP Poll Maker est un plugin WordPress permettant aux utilisateurs de créer facilement des sondages et des formulaires d’enquêtes personnalisés sur leurs sites Web.
Ce plugin est affecté par une vulnérabilité libellée CVE-2024-32514. Son exploitation permettrait à un attaquant de téléverser, sans restriction, des fichiers malveillants sur le système cible.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.9.
IMPACT :
- Compromission du système ;
- Accès à des données sensibles.
SYSTÈMES AFFECTÉS :
Toutes les versions du plugin WP Poll Maker antérieures à la version 3.4.
MESURES À PRENDRE :
Durcir les permissions sur les répertoires web contenant les fichiers téléversés afin de restreindre toute exécution malveillante et appliquer le correctif de l’éditeur dès qu’il sera disponible.