,
Le bloc Avatar de WordPress permet d’afficher la photo et le nom d’un utilisateur sur n’importe quelle publication, page ou modèle.
Cette fonctionnalité est affectée par une vulnérabilité libellée CVE-2024-4439. Elle est due à un échappement insuffisant des caractères présents dans le nom affiché. Son exploitation permettrait à un acteur malveillant authentifié, et disposant d’un accès contributeur ou supérieur, d’injecter des scripts malveillants.
Cette vulnérabilité est classée critique avec un score de sévérité de 7.2.
RISQUES DE SÉCURITÉ
- Compromission du système
- Accès à des données sensibles
SYSTÈMES AFFECTÉS
- Toutes les diverses versions de WordPress antérieures à la version 6.5.2.
MESURES À PRENDRE
- Mettre à jour WordPress vers la dernière version disponible.
Source : bjCSIRT
