Vulnérabilité dans l’extension WordPress Responsive Ready Sites Importer
Date de publication :
Une vulnérabilité a été découverte dans l’extension WordPress Responsive Ready Sites Importer, un plugin utilisé pour importer des modèles et du contenu de sites externes. Un attaquant distant exploitant cette vulnérabilité peut prendre le contrôle total du site victime, lui permettant par exemple d’injecter des scripts malicieux dans les pages de celui-ci, voire activer ou désactiver d’autres extensions.
CVE-2020-12073 [Score CVSS v3 : 9.1] : Une vulnérabilité résultant de la non-protection de certains points de sortie d’API AJAX a été découverte dans Responsive Ready Sites Importer. Un attaquant distant disposant de droits d’accès basiques exploitant cette vulnérabilité peut prendre le contrôle total du site en envoyant des requêtes spécialement conçues vers des points de sortie API non-protégés. L’attaquant peut ensuite par exemple ajouter des pages sur le site victime, voire activer ou désactiver d’autres extensions.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Prise de contrôle totale sur le site victime
Criticité
- Score CVSS v3 : 9.1
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour, les indications présentées par le bulletin source sont cependant suffisamment détaillées pour faciliter le développement d’un tel code
Composants vulnérables
- Responsive Ready Sites Importer avant la version 2.2.6
CVE
- CVE-2020-12073
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Responsive Ready Sites Importer vers la version 2.26
Solution de contournement
Aucune solution de contournement n’est disponible