Vulnérabilité de type élévation de privilèges dans le plugin WP Datepicker de WordPress

WP Datepicker est un plugin WordPress utilisé pour la gestion des saisies de date et d’heure dans les formulaires des sites wordpress. 

Ce plugin est affecté par une vulnérabilité libellée CVE-2024-3895. Elle est due à une mauvaise vérification des autorisations de la fonction wpdp_add_new_datepicker_ajax() dans les versions du plugin WP Datepicker. Son exploitation permettrait à un acteur malveillant authentifié, disposant d’un accès au niveau de l’abonné ou supérieur, de modifier des options arbitraires pour obtenir des privilèges supplémentaires au sein du système. 

Cette vulnérabilité est classée critique avec un score de sévérité de 8.8. 

RISQUES DE SÉCURITÉ

  • Compromission du système
  • Élévation de privilèges 
  • Accès à des données sensibles

SYSTÈMES AFFECTÉS

  • Toutes les versions du plugin WP Datepicker antérieures à la version 2.1.1. 

MESURES À PRENDRE

  • Mettre à jour le plugin WP Datepicker vers la dernière version disponible


Source : bjCSIRT