DJ-CERT - Centre gouvernementale de veille, d'alertes et de réponses aux attaques informatiques

BULLETIN D'ALERTES

Object	Multiples Vulnérabilités dans le plugin «UserPro» pour WordPress
Réference	1070
Date de Publication	2023-11-24
Sévérité	Critique

IMPACT :

Exécution de code SQL à distance
Elévation de privilèges
Atteinte à la confidentialité des données

SYSTÉME AFFECTÉ :

UserPro WordPress Plugin version antérieure à 5.1.2

DÉSCRIPTION :

Des nombreuses vulnérabilités ont été découvertes dans les produits WordPress Plugin UserPRo susmentionné. Ces vulnérabilités permettent à un attaquant distant d'exécuter du code SQL, de réussir une élévation de privilèges et de porter atteinte à la confidentialité de données.

SOLUTION :

Mettre à jour les produits WordPress Plugin UserPro.(se réfère à la documentation)

DOCUMENTATION :

Bulletin de sécurité WordPress du 21/11/2023

https://www.wordfence.com/blog/2023/11/several-critical-vulnerabilities-including-privilege-escalation-authentication-bypass-and-more-patched-in-userpro-wordpress-plugin/

CVE-2023-2437

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-2437

CVE-2023-2446

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-2446

CVE-2023-2447

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-2447

CVE-2023-2448

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-2448

CVE-2023-6009

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-6009