Origine : bjCSIRT
Numéro : 2024/ALERTE/091
Date de l’alerte : 27/12/2024
APERÇU :
Une vulnérabilité d’injection SQL présente dans l’extension PowerFormBuilder permettrait à un acteur malveillant d’interagir directement avec la base de données des sites affectés.
DESCRIPTION :
PowerFormBuilder est une extension de WordPress conçu pour faciliter la création et la gestion de formulaires de contact sur les sites WordPress. Il intègre des outils de gestion de base de données pour visualiser et éditer les données soumises via les formulaires.
Cette extension est affectée par une vulnérabilité libellée CVE-2024-55983 qui résulte d’une gestion incorrecte des caractères spéciaux dans une commande SQL. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant d’injecter des commandes SQL arbitraires via des champs ou des paramètres d’entrée non sécurisés, compromettant ainsi le système affecté.
Cette vulnérabilité est classée élevée avec un score de sévérité de 8.5 selon le CVSS v3.1.
IMPACT :
- Atteinte à la confidentialité des données ;
- Compromission de l’intégrité du système.
SYSTÈMES AFFECTÉS :
Toutes les versions de PowerFormBuilder jusqu’à la version 1.0.6 incluse.
MESURES À PRENDRE :
Appliquer immédiatement les mises à jour une fois disponibles sur le site de l’éditeur.
RÉFÉRENCES :