Origine : bjCSIRT
Numéro : 2024/ALERTE/016
Date de l’alerte : 22/03/2024
APERÇU :
Une vulnérabilité classée critique a été détectée dans les plugins Malware Scanner (versions <= 4.7.2) et Web Application Firewall (versions <= 2.1.1) de WordPress, développés par MiniOrange.
DESCRIPTION :
Les plugins Malware Scanner et Web Application Firewall sont deux solutions de sécurité populaires du CMS WordPress, développées par MiniOrange.
Ces deux logiciels sont affectés par une vulnérabilité libellée CVE-2024-2172 de type élévation de privilèges publiée par WordPress le 13 mars 2024.
Cette vulnérabilité peut être exploitée en appelant la fonction mo_wp_init(). Cette fonction accessible sans restriction ne possède pas de système de vérification d’authentification. Elle permet donc à un utilisateur non authentifié de s’octroyer les privilèges d’un administrateur.
Cette vulnérabilité est classée critique avec un score CVSSv3 de 9.8
IMPACT :
- Atteinte à la confidentialité des données ;
- Atteinte à l’intégrité des données ;
- Élévation de privilèges.
SYSTÈMES AFFECTÉS :
- Toutes les versions de Malware Scanner antérieures à la version 4.7.3
- Toutes les versions de Web Application Firewall antérieures à la version 2.1.2
MESURES À PRENDRE :
- Mettre à jour les plugins Malware Scanner et Web Application Security vers les dernières versions disponibles
RÉFÉRENCES :
