Vulnérabilité de type élévation de privilège dans le plugin Premium Packages de WordPress
Le plugin Premium Packages est conçu pour transformer le gestionnaire de téléchargement WordPress en une solution e-commerce complète pour la vente de produits numériques. Avec ce plugin, les administrateurs de site peuvent facilement attribuer un prix à un article numérique qu’ils souhaitent vendre. Il permet également de fixer des prix basés sur différents types de licences, par exemple : Simple, Étendue, Illimitée.
Elle présente une vulnérabilité libellée CVE-2023-4293. Il s’agit d’une vulnérabilité d’escalade de privilèges qui permettrait à des attaquants authentifiés, avec des autorisations minimales telles qu’un abonné, de modifier leur rôle d’utilisateur en fournissant le paramètre ‘profile[role]’ lors d’une mise à jour de profil. Cela peut potentiellement leur donner un niveau d’accès et de privilèges supérieur à celui auquel ils sont censés avoir droit.
L’exploitation de cette vulnérabilité permettrait d’exfiltrer des identifiants de connexion et avoir accès à des informations sensibles.
Cette vulnérabilité est de sévérité Élevée et son score est de 8.8.
RISQUES DE SÉCURITÉ
- Atteinte à la confidentialité des données
- Atteinte à l’intégrité des données
- Atteinte à la disponibilité des données
SYSTÈMES AFFECTÉS
- Les versions inférieures à la 5.7.4
MESURES À PRENDRE
- Effectuer une mise à jour vers la version 5.7.5 ou une version ultérieure.
Source : CVE-2023-4293
