| Identifiant CVE | CVE-2024-11269 |
|---|---|
| Type | Injection SQL (SQLi) |
| Composant affecté | Plugin WordPress AHAthat |
| Vecteur CVSS | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| Score CVSS | 6.5 — Medium |
| Découverte par | Seckhmet |
Une injection SQL a été découverte dans le plugin WordPress AHAthat. Contrairement à d'autres CVE de ce plugin, celle-ci est exploitable avec de simples privilèges utilisateur (PR:L), ce qui élargit significativement la surface d'attaque.
Un utilisateur WordPress lambda peut ainsi exfiltrer des données confidentielles depuis la base de données, incluant potentiellement des données personnelles, des credentials hashés ou des informations métier sensibles.
Mettre à jour le plugin AHAthat immédiatement. Limiter le nombre de comptes utilisateurs actifs sur vos installations WordPress. Monitorer les requêtes SQL anormales via une surveillance continue.