Vulnérabilité de type file upload dans le plugin InstaWP Connect de WordPress
InstaWP Connect est un plugin WordPress qui permet de créer des environnements de staging complets pour tester, développer, éditer ou cloner votre site à partir du tableau de bord.
Ce plugin est affecté par une vulnérabilité libellée CVE-2024-2667. Elle est due à une validation insuffisante des fichiers uploadés, par l’API REST. Son exploitation permettrait à un acteur malveillant de téléverser, sans restriction, des fichiers sur le système cible.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.8.
RISQUES DE SÉCURITÉ
- Compromission du système
- Exécution de scripts arbitraires
- Accès à des données sensibles
SYSTÈMES AFFECTÉS
- Toutes les diverses versions du plugin InstaWP Connect antérieures à la version 0.1.0.22 incluse.
MESURES À PRENDRE
- Mettre à jour le plugin InstaWP Connect vers la dernière version disponible.
Source : bjCSIRT