Menu

CVE-2024-11267 — Injection SQL critique (CVSS 8.8)

Plugin WordPress JSP Store Locator — Découverte par Seckhmet

Informations sur la vulnérabilité

Identifiant CVECVE-2024-11267
TypeInjection SQL (SQLi)
Composant affectéPlugin WordPress JSP Store Locator
Vecteur CVSSCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Score CVSS8.8 — High
Découverte parSeckhmet

Description

Une injection SQL de haute sévérité (CVSS 8.8) a été découverte dans le plugin WordPress JSP Store Locator. Cette vulnérabilité est particulièrement dangereuse car elle est exploitable avec de simples privilèges utilisateur (PR:L), sans interaction de la victime, et entraîne un impact triple critique sur la confidentialité, l'intégrité et la disponibilité.

Tout utilisateur enregistré sur un site WordPress utilisant ce plugin peut potentiellement lire, modifier ou supprimer l'intégralité des données de la base de données, voire provoquer une mise hors service du site.

Analyse CVSS

  • AV:N — Vecteur réseau : exploitable à distance sans accès physique
  • AC:L — Faible complexité : exploitation straightforward
  • PR:L — Simples privilèges suffisants (abonné, auteur, etc.)
  • UI:N — Aucune action requise de la part de la victime
  • S:U — Portée non modifiée
  • C:H / I:H / A:H — Impact critique sur les trois piliers CIA

Recommandations

Mettre à jour ou désinstaller immédiatement le plugin JSP Store Locator. Vérifier les logs de base de données pour détecter toute exploitation passée. Déployer une solution de surveillance continue WordPress pour anticiper ce type de menace dès la publication de la CVE.