,
InstaWP Connect est un plugin WordPress qui permet de créer des environnements de staging complets pour tester, développer, éditer ou cloner votre site à partir du tableau de bord.
Ce plugin est affecté par une vulnérabilité libellée CVE-2024-2667. Elle est due à une validation insuffisante des fichiers uploadés, par l’API REST. Son exploitation permettrait à un acteur malveillant de téléverser, sans restriction, des fichiers sur le système cible.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.8.
RISQUES DE SÉCURITÉ
- Compromission du système
- Exécution de scripts arbitraires
- Accès à des données sensibles
SYSTÈMES AFFECTÉS
- Toutes les diverses versions du plugin InstaWP Connect antérieures à la version 0.1.0.22 incluse.
MESURES À PRENDRE
- Mettre à jour le plugin InstaWP Connect vers la dernière version disponible.
Source : bjCSIRT
