une vulnérabilité critique a été découverte dans le plugin Instagram pour WordPress, identifiée sous le nom CVE-2023-5357.
Réception de la Vulnérabilité
Cette faille de sécurité a été signalée au NVD (National Vulnerability Database) et n’a pas encore été analysée en détail.
Description de la Vulnérabilité
Le plugin Instagram pour WordPress, jusqu’à la version 2.1.6, est vulnérable à une attaque de type Stored Cross-Site Scripting (XSS) via des shortcodes. Cette vulnérabilité est due à une insuffisance dans la validation des données en entrée et dans l’échappement des caractères spéciaux dans les attributs fournis par les utilisateurs. Cela permet à des attaquants authentifiés avec des permissions de niveau contributeur et supérieures d’injecter des scripts web arbitraires dans les pages. Ces scripts s’exécuteront à chaque fois qu’un utilisateur accède à la page injectée.
Gravité de la Vulnérabilité
La gravité de cette vulnérabilité est évaluée selon le système de notation CVSS 3.x :
- Vecteur CVSS : CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Références et Solutions
Pour plus d’informations sur cette vulnérabilité, vous pouvez consulter le site de Wordfence, l’organisme qui a signalé cette faille. Notez que ces liens vous redirigeront vers des sites externes, et aucune conclusion ne doit être tirée de ces références quant à l’approbation ou non par le NVD des contenus de ces sites.
Remarque aux Utilisateurs
Il est fortement recommandé aux utilisateurs du plugin Instagram pour WordPress de mettre à jour leur extension vers la dernière version disponible dès que possible afin de se prémunir contre cette vulnérabilité de sécurité.
Énumération des Faiblesses
Identifiant CWE : N/D (L’identifiant CWE n’est pas spécifié dans l’article d’origine.)
CWE-79 Neutralisation incorrecte des entrées lors de la génération de pages Web (« Cross-site Scripting »)
