Vulnérabilité d’injection SQL affectant l’extension PowerFormBuilder de WordPress

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2024/ALERTE/091

Date de l’alerte : 27/12/2024

APERÇU :

Une vulnérabilité d’injection SQL présente dans l’extension PowerFormBuilder permettrait à un acteur malveillant d’interagir directement avec la base de données des sites affectés.  

DESCRIPTION :

PowerFormBuilder est une extension de WordPress conçu pour faciliter la création et la gestion de formulaires de contact sur les sites WordPress. Il intègre des outils de gestion de base de données pour visualiser et éditer les données soumises via les formulaires. 

Cette extension est affectée par une vulnérabilité libellée CVE-2024-55983 qui résulte d’une gestion incorrecte des caractères spéciaux dans une commande SQL. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant d’injecter des commandes SQL arbitraires via des champs ou des paramètres d’entrée non sécurisés, compromettant ainsi le système affecté. 

 Cette vulnérabilité est classée élevée avec un score de sévérité de 8.5 selon le CVSS v3.1. 

IMPACT :

  • Atteinte à la confidentialité des données ;  
  • Compromission de l’intégrité du système. 

  SYSTÈMES AFFECTÉS : 

Toutes les versions de PowerFormBuilder jusqu’à la version 1.0.6 incluse. 

MESURES À PRENDRE :

Appliquer immédiatement les mises à jour une fois disponibles sur le site de l’éditeur. 

 RÉFÉRENCES :

Partagez sur vos réseaux.