WordPress: Plugin User Registration, User Profiles, Login & Membership – ProfilePress (Formerly WP User Avatar)

Refer: 

tunCERT/Vuln.2021-293

Version: 

1.0

Date version: 

2021-06-29

Score cvss: 

9.80

Classification: 

  • Critique

Impact: 

  • Déni de service
  • Perte de confidentialité
  • Perte d'intégrité

Plateforme: 

  • Indépendant de la Plate-forme

Type: 

  • File Upload

Conséquence: 

Perte de confidentialité
Perte d'intégrité

Logiciels impactés (s) :

WordPress

  • Plugin User Registration, User Profiles, Login & Membership – ProfilePress (Formerly WP User Avatar) 3.1 – 3.1.3

Description: 

Des vulnérabilités ont été signalées dans le plugin «Plugin User Registration, User Profiles, Login & Membership – ProfilePress (Formerly WP User Avatar) » de WordPress. L’exploitation de ces failles pourrait permettre à un attaquant distant de télécharger des fichiers arbitraires sur un site vulnérable et de s'enregistrer en tant qu'administrateur même si l'enregistrement des utilisateurs était désactivé.

Solution: 

METTRE À JOUR Le Plugin User Registration, User Profiles, Login & Membership – ProfilePress (Formerly WP User Avatar)
Téléchargement de la mise à jour

Lien: 

https://downloads.wordpress.org/plugin/wp-user-avatar.3.1.8.zip

Identificants du problème: 

CVE-2021-34621

CVE-2021-34622

CVE-2021-34623

CVE-2021-34624

Documentation additionnelle: 

wordfence
https://www.wordfence.com/blog/2021/06/easily-exploitable-critical-vulnerabilities-patched-in-profilepress-plugin/

Date de publication: 

2021-06-29

Référence: 

293