Le plugin WP Query Console pour WordPress présente une vulnérabilité critique d’exécution de code à distance (RCE) qui affecte toutes les versions jusqu’à la 1.0 incluse. Cette vulnérabilité est non authentifiée, ce qui permet aux attaquants d’exécuter du code arbitraire sans avoir besoin d’un accès préalable. Un exploit de type preuve de concept est disponible publiquement, ce qui augmente considérablement la probabilité d’exploitation.
Patchstack a classé cette vulnérabilité comme hautement dangereuse, avec un score CVSS de 10, et a déclaré qu’une “exploitation massive est prévue”.
| Produit | wp-query-console |
| Date | 2024-12-03 15:20:17 |
| Informations |
|
Résumé technique
Le plugin WP Query Console pour WordPress est vulnérable à une exécution de code à distance dans toutes les versions jusqu’à la 1.0 incluse. Ce défaut permet à des attaquants non authentifiés d’exécuter du code arbitraire sur le serveur, conduisant potentiellement à la compromission complète du site web et de l’environnement d’hébergement.
Recommandations
Comme aucun correctif n’est disponible pour le moment et que le plugin n’a pas été maintenu ou mis à jour depuis sept ans, il est recommandé de désactiver et de désinstaller immédiatement le plugin WP Query Console.
[Callforaction-THREAT-Footer]
Leave a Reply