Vulnérabilité sur une extension WordPress
Date de publication :
Une vulnérabilité a été découverte dans Code Snippets, une extension WordPress permettant la gestion de snippets (fragments de code) PHP. Elle peut permettre à un attaquant d’effectuer une attaque de type CSRF (cross-site request forgery).
CVE-2020-8417 [Score CVSS v3 : 8.8] : L’extension Code Snippets avant la version 2.14.0 peut permettre une attaque de type CSRF à cause d’une absence de protection contre ce type d’attaque dans la fonction Import. En cas d’exploitation réussie, un attaquant distant pourrait injecter du code malicieux dans un site, créer un compte ayant des droits administratifs ou exfiltrer des données sensibles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Élévation de privilèges
- Exfiltration de données
Criticité
- Score CVSS v3 : 8.8
Existence d’un code d’exploitation
- Un PoC est disponible publiquement
Composants vulnérables
- Code Snippets versions antérieures à la 2.14.0
CVE
- CVE-2020-8417
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Code Snippets à la version 2.14.0 ou supérieure
Solution de contournement
- Aucune solution de contournement n’est disponible