Plateforme
wordpress
Composant
profilepress
Corrigé dans
3.0.1
La vulnérabilité CVE-2021-34622 est une faille d'élévation de privilèges présente dans le plugin WordPress ProfilePress. Cette faille permet à des utilisateurs non-administrateurs de s'attribuer des privilèges d'administrateur en modifiant leur profil utilisateur. Elle affecte les versions 3.0.0 à 3.1.3 du plugin. Une mise à jour vers la dernière version est recommandée pour corriger ce problème.
Cette vulnérabilité représente un risque majeur pour les sites WordPress utilisant ProfilePress. Un attaquant peut exploiter cette faille pour obtenir un accès administrateur complet au site web, lui permettant de modifier le contenu, d'installer des logiciels malveillants, de voler des données sensibles ou de compromettre l'ensemble du serveur. L'impact est amplifié si le site web héberge des informations personnelles ou financières, car l'attaquant pourrait les voler ou les modifier. Cette faille est particulièrement préoccupante car elle ne nécessite pas d'authentification préalable, permettant à un utilisateur non authentifié de potentiellement escalader ses privilèges.
La vulnérabilité CVE-2021-34622 a été rendue publique le 7 juillet 2021. Bien qu'il n'y ait pas de rapports d'exploitation active confirmés à ce jour, la sévérité critique de la vulnérabilité et la facilité potentielle d'exploitation la rendent susceptible d'être exploitée. Il est conseillé de prendre des mesures correctives rapidement pour minimiser le risque. Aucune entrée n'est visible sur le KEV de CISA au moment de la rédaction.
WordPress sites utilizing the ProfilePress plugin, particularly those running versions 3.0.0 through 3.1.3, are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak password policies or those that haven't implemented proper user access controls are also at increased risk.
• wordpress / composer / npm:
grep -r 'EditUserProfile.php' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep ProfilePress• wordpress / composer / npm:
wp plugin update ProfilePress --all• generic web:
curl -I https://your-wordpress-site.com/wp-admin/profile.php | grep -i 'server' # Check for unusual server headers after profile editsdisclosure
Statut de l'Exploit
EPSS
64.97% (percentile 98%)
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour ProfilePress vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures de contournement peuvent être envisagées. Il est recommandé de restreindre l'accès aux fonctionnalités de modification de profil utilisateur, par exemple en limitant les champs modifiables ou en exigeant une authentification à deux facteurs pour les modifications de profil. Vérifiez après la mise à jour que les permissions des utilisateurs sont correctement configurées et qu'aucun utilisateur n’a des privilèges d’administrateur non autorisés. Surveillez les journaux d’activité du plugin pour détecter toute tentative d’élévation de privilèges suspecte.
Mettez à jour le plugin ProfilePress vers la dernière version disponible. La vulnérabilité permet à des utilisateurs non autorisés d'élever leurs privilèges à administrateur, il est donc crucial d'appliquer la mise à jour dès que possible.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2021-34622 is a critical vulnerability in the ProfilePress WordPress plugin allowing users to escalate privileges to administrator level, potentially gaining full site control. It affects versions 3.0.0–3.1.3.
If you are using ProfilePress versions 3.0.0 through 3.1.3 on your WordPress site, you are potentially affected by this vulnerability. Check your plugin version immediately.
The recommended fix is to immediately upgrade ProfilePress to the latest available version. If upgrading is not possible, consider temporary restrictions on user profile editing.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a likely target. Monitor your site closely.
Refer to the ProfilePress website and WordPress plugin repository for the latest information and security advisories related to CVE-2021-34622.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.