Origine : bjCSIRT

Numéro : 2024/ALERTE/026

Date de l’alerte : 07/05/2024

APERÇU :

WordPress est affecté par une vulnérabilité de type XSS stockée dans le bloc Avatar permettant l’injection de scripts malveillants. 

DESCRIPTION 

Le bloc Avatar de WordPress permet d’afficher la photo et le nom d’un utilisateur sur n’importe quelle publication, page ou modèle. 

Cette fonctionnalité est affectée par une vulnérabilité libellée CVE-2024-4439. Elle est due à un échappement insuffisant des caractères présents dans le nom affiché. Son exploitation permettrait à un acteur malveillant authentifié, et disposant d’un accès contributeur ou supérieur, d’injecter des scripts malveillants. 

Cette vulnérabilité est classée critique avec un score de sévérité de 7.2.

IMPACT :

• Compromission du système ; 
• Accès à des données sensibles. 

SYSTÈMES AFFECTÉS :

Toutes les diverses versions de WordPress antérieures à la version 6.5.2. 

MESURES À PRENDRE :

Mettre à jour WordPress vers la dernière version disponible.  

RÉFÉRENCES :

• https://nvd.nist.gov/vuln/detail/CVE-2024-4439 
• https://www.wordfence.com/threat-intel/vulnerabilities/id/e363c09a-4381-4b3a-951c-9a0ff5669016?source=cve 
• https://www.wordfence.com/blog/2024/04/unauthenticated-stored-cross-site-scripting-vulnerability-patched-in-wordpress-core/