Vulnérabilité de type élévation de privilège dans le plugin Premium Packages de WordPress

Le plugin Premium Packages est conçu pour transformer le gestionnaire de téléchargement WordPress en une solution e-commerce complète pour la vente de produits numériques. Avec ce plugin, les administrateurs de site peuvent facilement attribuer un prix à un article numérique qu’ils souhaitent vendre. Il permet également de fixer des prix basés sur différents types de licences, par exemple : Simple, Étendue, Illimitée.

Elle présente une vulnérabilité libellée CVE-2023-4293. Il s’agit d’une vulnérabilité d’escalade de privilèges qui permettrait à des attaquants authentifiés, avec des autorisations minimales telles qu’un abonné, de modifier leur rôle d’utilisateur en fournissant le paramètre ‘profile[role]’ lors d’une mise à jour de profil. Cela peut potentiellement leur donner un niveau d’accès et de privilèges supérieur à celui auquel ils sont censés avoir droit.

L’exploitation de cette vulnérabilité permettrait d’exfiltrer des identifiants de connexion et avoir accès à des informations sensibles.

Cette vulnérabilité est de sévérité Élevée et son score est de 8.8.

RISQUES DE SÉCURITÉ

  • Atteinte à la confidentialité des données 
  • Atteinte à l’intégrité des données 
  • Atteinte à la disponibilité des données 

SYSTÈMES AFFECTÉS

  • Les versions inférieures à la 5.7.4 

MESURES À PRENDRE 

  • Effectuer une mise à jour vers la version 5.7.5 ou une version ultérieure. 

 

Source : CVE-2023-4293