Vulnérabilité d’élévation de privilèges dans les plugins Malware Scanner et Web Application Firewall de WordPress
By ,
,
Les plugins Malware Scanner et Web Application Firewall sont deux solutions de sécurité populaires du CMS WordPress, développées par MiniOrange.
Ces deux logiciels sont affectés par une vulnérabilité libellée CVE-2024-2172 de type élévation de privilèges publiée par WordPress le 13 mars 2024.
Cette vulnérabilité peut être exploitée en appelant la fonction mo_wp_init(). Cette fonction accessible sans restriction ne possède pas de système de vérification d’authentification. Elle permet donc à un utilisateur non authentifié de s’octroyer les privilèges d’un administrateur.
Cette vulnérabilité est classée critique avec un score CVSSv3 de 9.8
RISQUES DE SÉCURITÉ
- Atteinte à la confidentialité des données
- Atteinte à l’intégrité des données
- Élévation de privilèges
SYSTÈMES AFFECTÉS
- Toutes les versions de Malware Scanner antérieures à la version 4.7.3
- Toutes les versions de Web Application Firewall antérieures à la version 2.1.2
MESURES À PRENDRE
- Mettre à jour les plugins Malware Scanner et Web Application Security vers les dernières versions disponibles
Source : bjCSIRT
