Vulnérabilité dans le plugin WordPress Contact Form
Date de publication :
CVE-2020-35489[Score CVSS v3 : 10.0] : Une vulnérabilité extrêmement critique a été corrigée dans le plugin Contact Form. L’exploitation de cette vulnérabilité consiste en la manipulation du paramètre filename avec une valeur d’entrée non-spécifiée afin de télécharger un fichier malveillant sur le site vulnérable. Un attaquant distant et authentifié peut alors potentiellement injecter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
Criticité
- Score CVSS v3 : 10
Existence d’un code d’exploitation
- Il n’existe pas de code d’exploitation connu publiquement à l’heure actuelle.
Composants vulnérables
- Contact Form version 5.3.1.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Contact Form vers la version 5.3.2.
Solution de contournement
Il n’existe pas de solution de contournement connue publiquement à l’heure actuelle.