Vulnérabilité d’inclusion de fichiers locaux (LFI) et d’exécution de code à distance (RCE) sur le plugin WordPress Media Library Assistant.

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2023/ALERTE/041

Date de l’alerte : 07/09/2023

APERÇU :

Media Library Assistant est un Plug-in WordPress permettant d’améliorer la gestion des médias (images, vidéos, fichiers, audio, etc.) dans la bibliothèque de médias d’un site web WordPress, ce qui peut être particulièrement utile pour les sites WordPress contenant de nombreuses images et fichiers multimédias. Il est affecté par une vulnérabilité de type inclusion de fichier locale et d’exécution de code à distance nommée : CVE 2023-4634.

DESCRIPTION :

Media Library Assistant étant un Plug-in WordPress permettant de charger des médias, la vulnérabilité permettrait de charger un fichier SVG arbitraire existant sur un serveur FTP distant contenant du code malveillant.

Cette CVE 2023-4634 est due à des contrôles insuffisants sur les chemins de fichiers fournis au paramètre ‘mla_stream_file‘ à partir du fichier ~/includes/mla-stream-image.php, où les images sont traitées via Imagick(). Dans ce contexte, un attaquant pourrait potentiellement exécuter du code à distance sur la cible visée.

Cette vulnérabilité a pour conséquence de permettre à un attaquant de lire voire d’exécuter des fichiers sur la machine cible, ce qui peut s’avérer extrêmement préoccupant. Notamment, si le serveur web est mal configuré et fonctionne avec des privilèges élevés, cela donne à l’attaquant un accès potentiel à des informations hautement sensibles voir la prise de contrôle total du serveur.

Cette vulnérabilité est de sévérité critique avec un score de 9.8.

IMPACT :

  • Accès à des données sensibles  ; 
  • Compromission du Système.

SYSTÈMES AFFECTÉS : 

Toutes les versions de Media Library Assistant antérieures à ≤ 3.09

MESURES À PRENDRE : 

Effectuer une mise à jour vers la version 3.10 ou une version ultérieure 

REFERENCES :

Partagez sur vos réseaux.