DJ-CERT - Centre gouvernementale de veille, d'alertes et de réponses aux attaques informatiques

BULLETIN D'ALERTES

Object	Vulnérabilité Critique Affectant Le Plugin «ultimate Member» Pour Wordpress
Réference	1119
Date de Publication	2024-02-26
Sévérité	Critique

IMPACT :

Injection de code SQL
Accès à des informations confidentielles

SYSTÉME AFFECTÉ :

Plugin «Ultimate Member» versions antérieures ou égales à 2.8.6

DÉSCRIPTION :

WordPress a récemment identifié et corrigé une vulnérabilité critique dans le plugin "Ultimate Member". Cette faille pourrait être exploitée par des attaquants distants non authentifiés pour injecter du code SQL et potentiellement accéder à des données confidentielles.

SOLUTION :

Veuillez-vous référer à la page de mise à jour de WordPress pour la mise à jour.

DOCUMENTATION :

Page de mise à jour de WordPress pour le plugin «Ultimate Member» :

https://wordpress.org/plugins/ultimate-member/

Bulletin de sécurité de Wordfence :

https://www.wordfence.com/blog/2024/02/2063-bounty-awarded-for-unauthenticated-sql-injection-vulnerability-patched-in-ultimate-member-wordpress-plugin/

CVE-2024-1071

https://vuldb.com/?id.254667