DJ-CERT - Centre gouvernementale de veille, d'alertes et de réponses aux attaques informatiques

BULLETIN D'ALERTES

Object	Vulnérabilité critique dans plugin «InPost PL et InPost for WooCommerce» de WordPress
Réference	1215
Date de Publication	2024-08-20
Sévérité	Critique

IMPACT :

Prise de contrôle du site
Atteinte à la confidentialité des données

SYSTÉME AFFECTÉ :

InPost PL version antérieure à 1.4.5
InPost pour WooCommerce version 1.4.0 et antérieure

DÉSCRIPTION :

Une vulnérabilité a été identifiée dans les plugins WordPress InPost PL et InPost pour WooCommerce. Référencée sous le code CVE-2024-6500, elle permet de lire et supprimer des fichiers de manière non autorisée.

SOLUTION :

Veuillez se référer au bulletin de sécurité WordPress pour plus d’information.

DOCUMENTATION :

Bulletins de sécurité WordPress

https://www.wordfence.com/threat-intel/vulnerabilities/detail/inpost-for-woocommerce-140-and-inpost-pl-144-missing-authorization-to-unauthenticated-arbitrary-file-read-and-delete

CVE-2024-6500

https://www.cve.org/CVERecord?id=CVE-2024-6500