Vulnérabilité de type XSS stockée dans le bloc Avatar de WordPress

Le bloc Avatar de WordPress permet d’afficher la photo et le nom d’un utilisateur sur n’importe quelle publication, page ou modèle. 

Cette fonctionnalité est affectée par une vulnérabilité libellée CVE-2024-4439. Elle est due à un échappement insuffisant des caractères présents dans le nom affiché. Son exploitation permettrait à un acteur malveillant authentifié, et disposant d’un accès contributeur ou supérieur, d’injecter des scripts malveillants. 

Cette vulnérabilité est classée critique avec un score de sévérité de 7.2.

RISQUES DE SÉCURITÉ

  • Compromission du système 
  • Accès à des données sensibles

SYSTÈMES AFFECTÉS 

  • Toutes les diverses versions de WordPress antérieures à la version 6.5.2. 

MESURES À PRENDRE

  • Mettre à jour WordPress vers la dernière version disponible.  

 

Source : bjCSIRT