publicité

Cette faille d’un plugin WordPress vous permet de prendre le contrôle sur des sites


Sécurité : La vulnérabilité a été découverte dans le plugin de partage social nommé "Simple Social Buttons", installé sur plus de 40.000 sites WordPress.

Les propriétaires de sites WordPress qui utilisent le plug-in « Simple Social Buttons » pour prendre en charge les fonctionnalités de partage sur les réseaux sociaux doivent le mettre à jour dès que possible afin de colmater une faille de sécurité pouvant être exploitée pour prendre le contrôle de sites.

 

Luka Šikić, développeur et chercheur de la société de sécurité WordPress WebARX, a découvert le problème la semaine dernière et a signalé la faille à l'auteur du plug-in.

La porte ouverte à toutes les portes dérobées

Dans un rapport publié aujourd'hui, il a décrit le problème comme un "un développement inadéquat de l’application, lié à l'absence de contrôle des autorisations".

Il indique qu'un attaquant pouvant enregistrer de nouveaux comptes sur un site peut exploiter cette vulnérabilité pour modifier les principaux paramètres d'un site WordPress, en dehors de ce que le plug-in devait initialement gérer.

Ces modifications peuvent permettre à un attaquant de s'emparer de sites en installant des portes dérobées ou en reprenant des comptes d'administrateur.

Dans une vidéo de démonstration qu'il a publiée sur YouTube aujourd'hui, Šikić a montré à quel point la vulnérabilité est dangereuse en modifiant l'adresse e-mail associée au compte administrateur d'un site WordPress.

Šikić a informé la semaine dernière la société WPBrigade, responsable du plug-in, qui a publié un correctif un jour après la publication de son rapport.

Les utilisateurs sont invités à installer la version 2.0.22 de Simple Social Buttons, publiée vendredi dernier, le 8 février.

La question ne doit pas être prise à la légère. Certains sites sont déjà protégés contre cette vulnérabilité, car leurs administrateurs ont déjà bloqué l'enregistrement des utilisateurs pour des raisons de sécurité.

Cependant, les sites qui permettent aux utilisateurs de s'inscrire pour poster des commentaires sur des articles de blog sont vulnérables aux attaques et doivent appliquer la mise à jour du plug-in dès que possible.

Le plugin a été installé sur plus de 40 000 sites Web, selon les statistiques du référentiel officiel des plugins WordPress, ce qui en fait une cible attrayante pour les opérateurs de botnet WordPress.

Cet article est une traduction de "WordPress plugin flaw lets you take over entire sites" initialement publié sur ZDNet.com

A lire aussi :

Des sites WordPress attaqués via une zero-day dans un plugin abandonné

Les développeurs du plugin Total Donations ont disparu, laissant d'anciens clients exposé aux attaques. Les gestionnaires...

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

Connectez vous ou Enregistrez-vous pour commencer la discussion
publicité