Origine : bjCSIRT
Numéro : 2025/ALERTE/002
Date de l’alerte : 09/01/2025
APERÇU :
Une vulnérabilité critique d’exécution de code à distance identifiée dans l’extension File upload de WordPress, permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire à distance.
DESCRIPTION :
File upload est une extension de WordPress permettant aux utilisateurs de téléverser des documents, images ou autres fichiers vers un site WordPress.
Cette extension est affectée par une vulnérabilité libellée CVE-2024-11613 qui résulte d’une validation incorrecte des entrées du paramètre source dans le fichier rwfu_file_downloader.php. L’exploitation de cette vulnérabilité, permettrait à un acteur malveillant non authentifié d’exécuter du code à distance sur les systèmes affectés.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.8 selon le CVSS v3.1.
IMPACT :
- Atteinte à la confidentialité des données ;
- Compromission de l’intégrité du système ;
- Exécution de code à distance.
SYSTÈMES AFFECTÉS :
Toutes les versions de l’extension WordPress File upload antérieures à la version 4.24.15.
MESURES À PRENDRE :
Mettre à jour l’extension WordPress File upload vers la dernière version disponible.
RÉFÉRENCES :