Vulnérabilités au sein du plugin WordPress Download Manager

CVE-2021-34639 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité dans le plugin WordPress Download Manager due à un manque de vérification des fichiers téléchargés par des tiers. Un attaquant distant et ayant les droits pour télécharger un fichier sur le site vulnérable peut être en mesure d’injecter du code arbitraire. Les fichiers malveillants possèderaient une double extension (evil.php.png par exemple).  et serait exécutable sur certaines configurations Apache/mod_php qui utilisent une directive AddHandler ou AddType.

Informations
+

Risques

  • Injection de code arbitraire

Criticité

  • Scores CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

  • Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • WordPress Plugin Download Manager version 3.1.24 et antérieures.

CVE


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour le plugin WordPress Download Manager vers la version 3.1.25 ou ultérieures.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.