| Identifiant CVE | CVE-2024-11372 |
|---|---|
| Type | Injection SQL (SQLi) |
| Composant affecté | Plugin WordPress Connexion Logs |
| Vecteur CVSS | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| Score CVSS | 7.2 — High |
| Découverte par | Seckhmet |
Une injection SQL a été découverte dans le plugin WordPress Connexion Logs, un outil conçu pour journaliser les connexions sur les sites WordPress. La faille permet à un attaquant avec des droits administrateur de manipuler les requêtes SQL, entraînant un impact critique sur la confidentialité, l'intégrité et la disponibilité.
Un plugin destiné à améliorer la sécurité contenant lui-même une vulnérabilité critique illustre parfaitement la nécessité d'auditer régulièrement l'ensemble de l'écosystème WordPress, y compris les outils de sécurité.
Mettre à jour ou désactiver le plugin Connexion Logs. Mettre en place une surveillance continue des plugins WordPress avec Seckhmet pour être notifié en temps réel de toute nouvelle vulnérabilité impactant votre périmètre.