Vulnérabilité dans le plugin WordPress File Manager
Date de publication :
Une vulnérabilité critique a été corrigée dans le plugin “File Manager” pour WordPress. Un attaquant distant non-authentifié peut exécuter du code arbitraire sur le système vulnérable.
CVE-2020-25213[Score CVSS v3 : 9.8] : Une vulnérabilité causée par la présence d’un fichier d’exemple a été découverte dans le plugin WordPress File Manager. Un attaquant distant non-authentifié peut exécuter des commandes arbitraires sur le système via l’accès à un fichier de code PHP exécutable. Le champ des commandes disponible est cependant réduit, et ne peuvent pas être exécutées sur des fichiers hors du dossier contenant le fichier exécutable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de commandes arbitraires
Criticité
Score CVSS v3 : 9.8
Existence d’un code d’exploitation
Un code d’exploitation détaillé est disponible ici.
Composants vulnérables
Plugin WordPress File Manager jusqu’à la version 6.9
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour le plugin File Manager vers la version 6.9 ou ultérieure
Solution de contournement
La suppression du fichier “connector.minimal.php” peut être envisagée afin de contournement la vulnérabilité.