Vulnérabilités dans le plugin WordPress Ultimate Member

Date de publication : 29/09/2022

De multiples vulnérabilités ont été découvertes dans le plugin WordPress “Ultimate Member”. Un attaquant distant non-authentifié peut élever son niveau de privilèges sur le site vulnérable.

CVE-ID en attente [Score CVSS v3 : 10.0] : Une vulnérabilité de type élévation de privilèges a été découverte dans le plugin Ultimate Member. Un attaquant distant non-authentifié peut obtenir des droits administrateur en enregistrant un nouveau compte via une requête spécialement conçue.

CVE-ID en attente [Score CVSS v3 : 9.9] : Une vulnérabilité de type élévation de privilèges a été découverte dans le plugin Ultimate Member. Un attaquant distant non-authentifié peut obtenir des droits administrateur en mettant à jour son profil via une requête spécialement conçue.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Elévation de privilèges

Criticité

Score CVSS v3 : 10.0

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement à ce jour. L’exploitation de ces vulnérabilités demeure cependant suffisamment simple pour facilement être reproduite.

Composants vulnérables

Plugin Ultimate Member avant la version 2.1.12

CVE

CVE-IDs en attente d’attribution

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Ultimate Member vers la version 2.1.12 ou supérieure

Solution de contournement

Aucune solution de contournement n’est disponible

Liens

Bulletin de vulnérabilité de Wordfence