La base de données des vulnérabilités des États-Unis (NVD) a attribué à la vulnérabilité un score de 8,8 sur 10, 10 étant la gravité la plus élevée.
Activer la vulnérabilité du plug-in de remplacement de média
y compris des shells PHP, également connus sous le nom de portes dérobées. Un plugin qui permet les téléchargements (soumissions de formulaires) vérifie idéalement que le fichier est conforme à ce qui est censé être téléchargé. Mais selon l’avertissement de sécurité de NVD, cela ne se produit apparemment pas lorsque les utilisateurs téléchargent des fichiers image.
La base de données nationale sur les vulnérabilités a publié cette description :
Shell php
Cela se trouve généralement une fois que le pirate s’est connecté en tant qu’administrateur du site. Les shells peuvent également être téléchargés via des exploits ou l’inclusion de fichiers à distance, ou un virus sur l’ordinateur.
Action recommandée
ShortPixel a publié un correctif pour la vulnérabilité. Le correctif est documenté dans le journal des modifications officiel situé dans le référentiel WordPress du plugin. Activer le plugin Media Replace de ShortPixel qui est inférieur à la version 4.0.2 est vulnérable. Les utilisateurs du plugin peuvent envisager de mettre à jour au moins la version 4.0.2.
CVE-2023-0255 Détail