WORDPRESS – CVE-2022-4049
CVE 2022-3994 & CVE-2022-4297
Date : 03/01/2023 CVE-2022-4049 Score CVSS : 9.8
Une vulnérabilité du type injections SQL dans le module wp-user de WordPress permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’exécuter du code arbitraire.
Un défaut de gestion de droits dans le composant Feed Access Token Handler du module Authenticator de WordPress permet à un attaquant authentifié, en envoyant des requêtes spécifiquement forgées, de modifier le jeton d’accès du site et provoquer un déni de service.
Une vulnérabilité du type injections SQL dans le module wp-autosearch de WordPress permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’exécuter du code arbitraire.
Risques : Exécution de code arbitraire
| Vecteur d'attaque | Complexités des attaques | Privilèges requis | Interaction des utilisateurs |
|---|---|---|---|
|
Réseau |
Bas |
Aucune |
Aucune |
|
Adjacente |
Haut |
Bas |
Obligatoire |
|
Local |
|
Haut |
|
|
Physique |
|
|
|
| Champ d'application | Confidentialité | Integrité | Disponibilité |
|---|---|---|---|
|
Modifié |
Haut |
Haut |
Haut |
|
Inchangée |
Bas |
Bas |
Bas |
|
|
Aucune |
Aucune |
Aucune |
| Produits et Versions Non-Impactés | ||
|---|---|---|
|
WP User |
supérieur à 7.0 |
|
|
R7000 |
1.0.11.136 |
|
|
R7960P |
1.4.4.94 |
|
|
R8000P |
1.4.4.94 |
|
Bulletin de l’éditeur : Netgear
Solutions apportées : Mettre à jour le logicielle vers une version supérieure non-impactés
