Vulnérabilité d’élévation de privilèges dans les plugins Malware Scanner et Web Application Firewall de WordPress
Les plugins Malware Scanner et Web Application Firewall sont deux solutions de sécurité populaires du CMS WordPress, développées par MiniOrange.
Ces deux logiciels sont affectés par une vulnérabilité libellée CVE-2024-2172 de type élévation de privilèges publiée par WordPress le 13 mars 2024.
Cette vulnérabilité peut être exploitée en appelant la fonction mo_wp_init(). Cette fonction accessible sans restriction ne possède pas de système de vérification d’authentification. Elle permet donc à un utilisateur non authentifié de s’octroyer les privilèges d’un administrateur.
Cette vulnérabilité est classée critique avec un score CVSSv3 de 9.8
RISQUES DE SÉCURITÉ
- Atteinte à la confidentialité des données
- Atteinte à l’intégrité des données
- Élévation de privilèges
SYSTÈMES AFFECTÉS
- Toutes les versions de Malware Scanner antérieures à la version 4.7.3
- Toutes les versions de Web Application Firewall antérieures à la version 2.1.2
MESURES À PRENDRE
- Mettre à jour les plugins Malware Scanner et Web Application Security vers les dernières versions disponibles
Source : bjCSIRT