CVE-2024-2473 : Divulgation Login WPS Hide Login <= 1.9.15.2

La vulnérabilité CVE-2024-2473 affecte le plugin WPS Hide Login pour WordPress, exposant la page de connexion cachée à des attaques potentielles. Cette vulnérabilité est due à un contournement qui se déclenche lorsque le paramètre 'action=postpass' est fourni. Un attaquant peut facilement découvrir n'importe quelle page de connexion qui pourrait avoir été cachée par le plugin, quel que soit l'authentification. Le score CVSS de 5,3 indique un risque modéré, mais la facilité d'exploitation en fait une préoccupation importante pour les sites web qui dépendent de ce plugin pour améliorer la sécurité. L'exposition du formulaire de connexion peut faciliter les attaques par force brute et le vol de données d'identification, compromettant l'intégrité et la confidentialité des données du site web et de ses utilisateurs. Il est crucial de mettre à jour le plugin vers la dernière version disponible pour atténuer ce risque.

1. Réservé2024-03-14
2. Publiée2024-06-11
3. Modifiée2024-08-01
4. EPSS mis à jour2026-04-02

La solution immédiate pour atténuer CVE-2024-2473 est de mettre à jour le plugin WPS Hide Login vers la dernière version (supérieure à 1.9.15.2). Le développeur a publié une mise à jour qui corrige la vulnérabilité de contournement. De plus, examinez la configuration du plugin pour vous assurer que les meilleures pratiques de sécurité sont en place. Envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que l'authentification à deux facteurs (2FA) pour les utilisateurs, afin de renforcer davantage la protection contre les attaques. Surveiller régulièrement les journaux du serveur à la recherche d'activités suspectes liées à des tentatives de connexion non autorisées est une pratique préventive importante. Si une mise à jour immédiate n'est pas possible, la désactivation temporaire du plugin jusqu'à ce que la mise à jour puisse être appliquée est une option viable.

Installations actives

2.0MConnu

Note du plugin