Origine : bjCSIRT
Numéro : 2024/ALERTE/089
Date de l’alerte : 16/12/2024
APERÇU :
Une vulnérabilité liée à la gestion inadéquate des privilèges dans le plugin WPForms de WordPress permettrait à un acteur malveillant d’effectuer des actions non autorisées sur les systèmes affectés.
DESCRIPTION :
WPForms est un plugin de WordPress, permettant de créer des formulaires variés comme des formulaires de contact, d’inscription ou encore de paiement.
Ce plugin est affecté par une vulnérabilité libellée CVE-2024-11205 due à une gestion insuffisante des privilèges dans WPForms. La faille découle de l’absence de contrôles adéquats sur les autorisations des utilisateurs pour certaines fonctions administratives, notamment la fonction worforms_is_admin_page.
Elle permettrait à un acteur malveillant authentifié et ayant des privilèges d’abonnés d’effectuer des actions non autorisées, telles que rembourser des paiements ou annuler des abonnements Stripe via l’API de l’extension.
Cette vulnérabilité est classée élevée avec un score de sévérité de 8.5 selon le CVSS 3.1.
IMPACT :
- Accès non autorisé aux données ;
- Compromission de l’intégrité.
SYSTÈMES AFFECTÉS :
Versions 1.8.4 à 1.9.2.1.
MESURES À PRENDRE :
Mettre à jour WPForms vers la version 1.9.2.2 ou supérieure
RÉFÉRENCES :
- https://nvd.nist.gov/vuln/detail/CVE-2024-11205
- https://github.com/advisories/GHSA-w65x-762v-xpf6
- https://feedly.com/cve/CVE-2024-11205