Vulnérabilité d’exécution de code à distance affectant WordPress File upload

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2025/ALERTE/002

Date de l’alerte : 09/01/2025

APERÇU :

Une vulnérabilité critique dexécution de code à distance identifiée dans l’extension File upload de WordPress, permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire à distance.

DESCRIPTION :

File upload est une extension de WordPress permettant aux utilisateurs de téléverser des documents, images ou autres fichiers vers un site WordPress. 

Cette extension est affectée par une vulnérabilité libellée CVE-2024-11613 qui résulte d’une validation incorrecte des entrées du paramètre source dans le fichier rwfu_file_downloader.php. L’exploitation de cette vulnérabilité, permettrait à un acteur malveillant non authentifié d’exécuter du code à distance sur les systèmes affectés. 

Cette vulnérabilité est classée critique avec un score de sévérité de 9.8 selon le CVSS v3.1. 

IMPACT :

  • Atteinte à la confidentialité des données ;  
  • Compromission de l’intégrité du système; 
  • Exécution de code à distance. 

SYSTÈMES AFFECTÉS : 

Toutes les versions de l’extension WordPress File upload antérieures à la version 4.24.15. 

MESURES À PRENDRE :

Mettre à jour l’extension WordPress File upload vers la dernière version disponible. 

RÉFÉRENCES :

Partagez sur vos réseaux.