Vulnérabilités dans le plugin WordPress Limit Login Attempts Reloaded

Deux vulnérabilités présentent sur le plugin WordPress Limit Login Attempts Reloaded ont été corrigées dans une mise à jour. Ces dernière peuvent permettre à un attaquant distant de voler des identifiants de connexion et/ou d’injecter du code arbitraire.

CVE-2020-35590[Score CVSS v3 : 9.8] : Une vulnérabilité dans le fichier LimitLoginAttempts.php peut permettre de contourner les limites d’essai d’authentification par adresse IP. Ce cas de figure est possible lorsque le plugin limit-login-attempts-reloaded est configuré pour accepter un en-tête arbitraire pour l'adresse IP source du client. En effet, l'en-tête X-Forwarded-For peut être falsifié. Un attaquant distant et non-authentifié peut alors effectuer une attaque par force brute pour essayer de trouver des identifiants de connexion valides. L’en-tête IP du client acceptant toute chaîne arbitraire, le nombre de connexions n'atteint jamais le nombre maximum d'essais autorisés.

CVE-2020-35589[Score CVSS v3 : 5.4] : Cette vulnérabilité réside dans le fait que le plugin Limit Login Attempts Reloaded autorise les injection de type XSS :

wp-admin/options-general.php?page=limit-login-attempts&tab={code d’attaque XSS}. 

Un attaquant distant et authentifié peut amener un administrateur à fournir un contenu malveillant à la page vulnérable, qui est ensuite renvoyé à la victime et exécuté par son navigateur web.