Vulnérabilité liée à la gestion inadéquate des privilèges dans le plugin WPForms de WordPress

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2024/ALERTE/089

Date de l’alerte : 16/12/2024

APERÇU :

Une vulnérabilité liée à la gestion inadéquate des privilèges dans le plugin WPForms de WordPress permettrait à un acteur malveillant d’effectuer des actions non autorisées sur les systèmes affectés. 
 

DESCRIPTION :

WPForms est un plugin de WordPress, permettant de créer des formulaires variés comme des formulaires de contact, d’inscription ou encore de paiement. 

Ce plugin est affecté par une vulnérabilité libellée CVE-2024-11205 due à une gestion insuffisante des privilèges dans WPForms. La faille découle de l’absence de contrôles adéquats sur les autorisations des utilisateurs pour certaines fonctions administratives, notamment la fonction worforms_is_admin_page.  

Elle permettrait à un acteur malveillant authentifié et ayant des privilèges d’abonnés d’effectuer des actions non autorisées, telles que rembourser des paiements ou annuler des abonnements Stripe via l’API de l’extension.

Cette vulnérabilité est classée élevée avec un score de sévérité de 8.5 selon le CVSS 3.1. 

IMPACT :

  • Accès non autorisé aux données ; 
  • Compromission de l’intégrité. 

  SYSTÈMES AFFECTÉS : 

Versions 1.8.4 à 1.9.2.1. 

MESURES À PRENDRE :

Mettre à jour WPForms vers la version 1.9.2.2 ou supérieure 

 RÉFÉRENCES :

  • https://nvd.nist.gov/vuln/detail/CVE-2024-11205  
  • https://github.com/advisories/GHSA-w65x-762v-xpf6 
  • https://feedly.com/cve/CVE-2024-11205 
Partagez sur vos réseaux.